Tengo un almacén de confianza que contiene la cadena de certificados SSL hasta el certificado de CA raíz:
Raíz CA - > CA intermedia - certificado SSL
Según lo que vi como una práctica recomendada, solo el certificado de CA raíz se debe agregar al almacén de confianza porque el servidor SSL debería enviar el certificado SSL junto con su certificado de CA intermedia, y por lo tanto podemos verificar toda la cadena.
Pero, ¿qué pasa con la situación en la que me gustaría confiar solo en una CA intermedia particular que emitió el certificado SSL y no en otra?
La parte administradora de la CA raíz puede emitir otra CA2 intermedia en la que mi aplicación también confiaría. ¿Cómo evitar tal situación?
Incluir el certificado de CA intermedia en el almacén de confianza no soluciona eso, porque el certificado de CA2 intermedio todavía sería confiable.