L'oggetto completo del certificato emittente deve corrispondere all'attributo completo dell'emittente del certificato emesso.
I almost never find an exact match, especially with the Common Name "CN" attribute.
La mia ipotesi è che si guardi l'emittente del certificato del server e quindi si provi a trovare la CA radice corrispondente. Ma di solito c'è una CA intermedia tra il certificato del server e la CA principale. Ciò significa che l'emittente del certificato server è la CA intermedia e l'emittente della CA intermedia è la CA radice.
In altre parole: il certificato del server non viene emesso direttamente dalla CA radice. L'emittente del certificato del server non è quindi l'oggetto della CA principale. E non è possibile trovare la CA radice semplicemente osservando l'emittente dei certificati server.
Invece devi prendere esplicitamente in considerazione i certificati intermedi. Ad esempio:
Certificato server di security.stackexchange.com:
subject: /C=US/ST=NY/L=New York/O=Stack Exchange, Inc./CN=*.stackexchange.com
issuer: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
Certificato intermedio - l'argomento corrisponde all'emittente del certificato del server:
subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
issuer: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
CA radice - l'argomento corrisponde all'emittente del certificato intermedio:
subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
issuer: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
Per maggiori informazioni vedi anche Framework dei certificati SSL 101: in che modo il browser verifica effettivamente la validità di un determinato certificato del server?