I certificati di chiusura firmati da certificati intermedi vengono accettati dai browser a condizione che la radice si trovi nell'archivio dei certificati attendibili. La mia comprensione è che un cert di entità finale non può di per sé firmare altri certificati (o in ogni caso un browser non accetterà tali certificati). Se questo è il caso, il browser deve essere in grado di distinguere un cert intermedio da un certificato di entità finale. Come fa questo? C'è un messaggio nel cert intermedio che dice "Questo è un cert intermedio" (che è stato firmato dal cert della radice per la validità)?