Supongamos que un certificado X.509 está firmado por un certificado intermedio que no está en su navegador. Tal vez el certificado raíz es pero no el certificado intermedio. En ese momento, parece que podría existir una ruta de certificación válida incluso si su navegador no lo sabe y supongo que simplemente sería S.O.L?
Parece que tal vez debería haber una extensión que indique dónde se puede obtener el certificado del emisor (suponiendo que no sea el certificado raíz), así como la forma en que existen extensiones para las listas de revocación de certificados que indican dónde se pueden obtener.