У клиента обычно есть только корневой CA в локальном хранилище доверенных сертификатов.Листовой сертификат и промежуточный сертификат, ведущий к корневому ЦС, должны быть предоставлены сервером.Промежуточные сертификаты обычно отправляются в дополнение к конечному сертификату в рамках рукопожатия TLS.
Но это типичная неправильная конфигурация, когда сервер отправляет только листовой сертификат.В этом случае проверка сертификата завершится неудачей, если клиент уже не знает промежуточные сертификаты или не сможет их получить каким-либо образом.Поскольку часто используются одни и те же промежуточные сертификаты, некоторые браузеры, такие как Firefox, кэшируют промежуточные сертификаты, которые они получают при взаимодействии с сервером A, и заполняют их, когда сломанный сервер B не отправляет необходимые промежуточные сертификаты.Другие браузеры (например, Google Chrome) будут пытаться загрузить недостающие промежуточные сертификаты из Интернета.Наиболее простые клиенты (например, приложения, написанные на Python, Java ... или curl) вместо этого просто потерпят неудачу с ошибкой проверки сертификата.