¿Es suficiente tener un certificado de CA intermedia en el almacén de Trust para validar un certificado de servidor?

Si tiene el certificado para el intermedio 1 en el almacén de confianza, esto significa que confía en los certificados emitidos por esta CA, que incluye el certificado del servidor en cuestión. Por lo tanto, si el servidor envía solo su certificado de hoja emitido por el intermedio 1, el cliente confiará en él.

En teoría, el cliente también confiaría en el servidor si el servidor además envía el intermedio 1 y el intermedio 2, es decir, las CA necesarias en la ruta de confianza a la CA raíz. Dado que el cliente no conoce (confía en) la CA raíz, pero confía en el intermediario 1, solo se deben ignorar los certificados de cadena superfluos enviados por el servidor. La mayoría de los clientes se comportan de esa manera, pero hubo un error en la versión OpenSSL anterior a la 1.0.2, donde la validación falló en este caso. Consulte problema de OpenSSL # 3621 o esta explicación en stackoverflow para más detalles.

Eche un vistazo a RFC 5280 Sección 6

  

La selección de un ancla de confianza es una cuestión de política: podría ser      la CA superior en una PKI jerárquica, la CA que emitió el verificador      certificado (s) propio (s), o cualquier otra CA en una red PKI. El procedimiento de validación de ruta es el mismo independientemente de la elección de confianza      ancla. Además, diferentes aplicaciones pueden depender de diferentes      confíe en los anclajes, o puede aceptar rutas que comiencen con cualquiera de un conjunto de      anclas de confianza.

En otras palabras, depende de la implementación de la validación de la ruta de certificación en el lado del cliente. Para algunos clientes funciona al tener solo un certificado de CA intermedio confiable para otros, se requiere la cadena completa. Algunos clientes también almacenan en caché el certificado intermedio una vez que se han verificado para acelerar el proceso de validación.