Ho un sistema che consuma servizi Web da un server pubblico su Internet (ma i dati non sono pubblici) Devo fornire le credenziali in Basic Auth per ottenere i dati, ecco perché utilizziamo SSL.
Il server stesso ha un certificato SSL ed è firmato da un certificato emittente da ad esempio "Azienda A" che è a sua volta firmata da una CA radice (diciamo Company B).
La mia domanda riguarda quale certificato devo inserire nel mio negozio di fiducia (una JVM Java) e quali sono le migliori pratiche?
So che se metto il certificato del server stesso, quando scade devo rinnovarlo ma per esempio vedo che lo hanno già cambiato prima della data di scadenza (come due mesi prima). Se mi fido del certificato Emittente (Azienda A) o della CA principale (Azienda B), ho paura di affidarmi a troppi server di cui non ho bisogno per ora.