> Приветствую. Прочитал тут про возможность объединения сертификатов в certificate bundle
> и появился такой вопрос. Если узел, который выдал сертификат скомпрометирован, то
> получается и промежуточные сертификаты вместе с Trust External CA Root могут
> быть поддельными. Или последний все таки клиент сравнивает с собственной базой
> root CA ?Проверяется цепочка до root CA. И клиент безусловно использует собственную базу root CA.
Пример иерархии для Comodo - https://www.instantssl.su/articles/121-which-is-root-which-i...
Если один из промежуточных сертификатов будет поддельный - проверка не пройдет, так как он не будет подписан вышестоящим.