1) Si el certificado intermedio (B) es de confianza, es decir, es un certificado de firma válido, no caducado, no manipulado y no revocado, entonces estar en el almacén de confianza es suficiente para que el cliente TLS no lo haga. No es necesario continuar en la cadena para verificar el certificado de la hoja.
Sin embargo , esa cosa "no manipulada" requiere que un certificado de confianza haya firmado el certificado intermedio. Ahora, el certificado intermedio podría ser autofirmado, al igual que los certificados de raíz, además de ser parte de una cadena hasta los certificados de raíz. En ese caso (asumiendo que la firma se retira), no hay necesidad de verificar la cadena por encima del certificado intermedio.
Es posible que algunos clientes ni siquiera se molesten en verificar que el certificado tenga una firma válida (está en el almacén de confianza, por lo que es confiable, en teoría) o que no haya sido revocado (muchos de los navegadores antiguos no lo hicieron). verifique la revocación de forma predeterminada, asumiendo que se actualizarían con una lista actualizada de certificados revocados que ya no se encuentran en el almacén de confianza). Sin embargo, en la práctica, debe asumir que ambas cosas (la firma válida, incluso si es autofirmada y no revocada) son verificadas por la mayoría de los clientes.
2) Eso depende completamente del servidor. Es típico servir todo excepto el certificado raíz, pero algunos servidores envían toda la cadena. Si utiliza un sitio como Qualys SSLLabs , te mostrará los certificados que envía el servidor. Este sitio parece enviar dos certificados: una hoja comodín para *.stackexchange.com
y un intermediario "Servidor CA", pero no el certificado raíz (que es una CA raíz DigiCert EV y firmó el certificado intermedio). Sin embargo, algunos otros sitios envían la cadena completa; SSLLabs lo marcará si lo haces, pero generalmente es un desperdicio.