A mio parere, il client verifica il certificato del server controllando se il DN emittente (Distinguished Name) è uguale al DN soggetto nel certificato radice? Se questo è il caso, chiunque può inserire un DN di Microsoft nel DN dell'emittente del suo certificato e inviarlo al client insieme a un certificato di Microsoft che è considerato attendibile da ogni computer. In che modo questo certificato convalida e verifica il server?