Se un client invia un CSR alla CA e ottiene un certificato firmato dalla CA, è prassi normale che il client verifichi se il certificato è effettivamente firmato dalla CA o se il client si fida della CA & Supponiamo che non ci sia alcun compromesso (uomo nel mezzo ecc.).
Al momento del recupero del certificato, il client esegue il motore di concatenazione dei certificati (almeno Microsoft CryptoAPI lo fa) e convalida il certificato. Questo include il percorso completo di certificazione, la fiducia e la convalida della firma. Poiché il certificato è firmato dalla CA, la manomissione del certificato verrà immediatamente rilevata.
Leggi altre domande sui tag public-key-infrastructure csr