Tengo un sistema que consume servicios web de un servidor público en Internet (pero los datos no son públicos). Tengo que proporcionar credenciales en Autenticación básica para obtener los datos, por eso utilizamos SSL.
El propio servidor tiene un certificado SSL y está firmado por un Certificado de Emisor de, por ejemplo, "Compañía A", que está firmado por una CA raíz (digamos la Compañía B).
Mi pregunta es sobre qué certificado debo colocar en mi almacén de confianza (una Java JVM) y cuáles son las mejores prácticas.
Sé que si puse el certificado del servidor, cuando caduque, tengo que renovarlo, pero por ejemplo veo que ya lo cambiaron antes de la fecha de caducidad (como dos meses antes). Si confío en el Certificado de Emisor (Compañía A) o en la CA Raíz (Compañía B), me temo que confío en demasiados servidores que no necesito por ahora.