Si un cliente envía un CSR a la CA y recupera un certificado firmado por la CA, entonces es una práctica estándar que el cliente verifique si el certificado está efectivamente firmado por la CA o si el cliente puede confiar en la CA & asuma que no hay compromiso (hombre en el medio, etc.)
Al recuperar el certificado, el cliente ejecuta el motor de encadenamiento de certificados (al menos, lo hace Microsoft CryptoAPI) y valida el certificado. Esto incluye la ruta de certificación completa, la confianza y la validación de firmas. Dado que, el certificado está firmado por CA, la manipulación del certificado se detectará de inmediato.
Lea otras preguntas en las etiquetas public-key-infrastructure csr