È sufficiente disporre del certificato di CA intermedio nell'archivio attendibile per convalidare un certificato del server?

Se si ha il certificato per l'intermedio 1 nell'archivio fiducia, significa che ci si fida dei certificati emessi da questa CA, che include il certificato del server in questione. Pertanto, se il server invia solo il suo certificato foglia rilasciato da intermedio 1, il client si fiderà di esso.

In teoria il client si fiderebbe anche del server se il server invia anche intermedio 1 e intermedio 2, vale a dire le CA necessarie nel percorso di trust della CA principale. Poiché il client non conosce (si fida) della CA radice ma si affida a intermedia 1, i certificati di catena superflui inviati dal server dovrebbero essere semplicemente ignorati. La maggior parte dei client si comporta in questo modo ma si è verificato un errore nella versione di OpenSSL precedente alla 1.0.2, in cui la convalida non è riuscita in questo caso. Vedi OpenSSL problema # 3621 o questa spiegazione su StackOverflow per ulteriori dettagli.

Dai un'occhiata a RFC 5280 Sezione 6.

The selection of a trust anchor is a matter of policy: it could be the top CA in a hierarchical PKI, the CA that issued the verifier's own certificate(s), or any other CA in a network PKI. The path validation procedure is the same regardless of the choice of trust anchor. In addition, different applications may rely on different trust anchors, or may accept paths that begin with any of a set of trust anchors.

In altre parole, dipende dall'implementazione della convalida del percorso di certificazione da parte del cliente. Per alcuni client funziona avendo solo un certificato CA intermedio di fiducia per gli altri è richiesta la catena completa. Alcuni client memorizzano anche il certificato intermedio una volta che sono stati verificati per accelerare il processo di convalida.