Para confiar en el certificado digital, ¿el certificado de CA inmediato también debe estar en el almacén de confianza o el certificado de CA raíz es suficiente?

Solo necesita confiar en la CA raíz, se comprobarán los certificados intermedios (y otros) si están firmados por una CA raíz de confianza, o un intermediario en el que confía una CA raíz. Si usted confía en esa CA raíz, usted confiará en todos los certificados firmados con los mismos.

  

Por ejemplo, cuando tiene una cadena [usuario] → [intermed-1] → [intermed-2] → [raíz], la verificación es así:

     

¿Tiene [usuario] [intermed-1] como su "Emisor"?

     

¿Tiene [usuario] una firma válida por la clave de [intermed-1]?

     

¿[intermed-1] tiene [intermed-2] como su "Emisor"?

     

¿Tiene [intermed-1] una firma válida con la clave de [intermed-2]?

     

¿Tiene [intermed-2] [root] como su "Emisor"?

     

¿Tiene [intermed-2] una firma válida por la clave de [root]

     

Dado que [raíz] se encuentra en la parte inferior de la cadena y se tiene como "Emisor", ¿está marcado como de confianza?

(recorte de esta respuesta)

El certificado raíz debería ser suficiente . Es responsabilidad del servidor proporcionar los certificados intermedios necesarios. Para citar RFC 5246 :

  

Esta es una secuencia (cadena) de certificados. El remitente         El certificado DEBE estar primero en la lista. Cada siguiente         El certificado DEBE certificar directamente el que lo precede. Porque         la validación de certificados requiere que las claves raíz sean distribuidas         independientemente, el certificado autofirmado que especifica la raíz         La autoridad de certificación PUEDE ser omitida de la cadena, bajo el         supuesto de que el extremo remoto ya debe poseerlo para poder         Valídalo en cualquier caso.

El certificado raíz es la única parte opcional de la cadena ("MAYO" en lugar de "DEBE").

Dicho esto , en el uso en el mundo real, ambos extremos difuminan un poco los bordes. Algunos servidores no proporcionan el intermediario, generalmente por falta de conocimiento combinado con la capacidad de salirse con la suya. Y se salen con la suya porque algunos certificados intermedios populares se rellenan previamente en las tiendas de confianza (mi instalación de Win7 tiene aproximadamente 15, para emisores como DigiCert, Entrust, GeoTrust, Go Daddy, Microsoft, RapidSSL, Thawte y Verisign). p>

Por lo tanto, puede colocar certificados intermedios en su almacén de confianza si desea compensar a algún servidor que no lo está haciendo bien. Pero tiene toda la razón si, en cambio, desea notificar al sitio que su servidor está mal configurado y pedirle que lo corrija.

Las publicaciones de gowernfawr y BadSkillz abordan la pregunta por completo.

Solo para dar un consejo útil para que pueda asegurarse de que su certificado esté configurado correctamente:

Puede usar www.SSLLabs.com para probar su configuración. En la sección "Rutas de certificación", la Hoja (Certificado del servidor) y el Certificado intermedio deben ser "Enviados por el servidor" y la Raíz debe estar "En el almacén de confianza".

Si la raíz también muestra "Enviado por el servidor" en color naranja, debe eliminarlo de su servidor ya que infla innecesariamente su protocolo de enlace SSL.