Для проверки сертификата требуется доверенный root CA. Доверенный означает, что ЦС находится в локальном хранилище доверенных сертификатов. В зависимости от того, к какому сайту вы подключаетесь и какой сертификат вы получаете, это может быть сертификат, выданный центром сертификации, которому вы уже доверяете или нет. В последнем случае вам нужно было бы сначала явно получить пока ненадежный сертификат CA и как-то обращаться с ним как с доверенным.
Необходимость явного импорта ЦС в качестве доверенного, как правило, имеет место для самозаверяющих сертификатов, что обычно считается плохой практикой, но в зависимости от конкретной среды c может иметь смысл. Это также может произойти для спецификаций компании c CA, но это должно быть лучше, если внедрить в различные системы автоматизированный процесс. Это также может произойти, когда неправильно настроенный сервер не отправляет требуемый промежуточный сертификат, и в этом случае было бы лучше исправить этот сервер.
Обратите внимание, что не следует импортировать произвольные сертификаты CA и считать их доверенными. Кто бы ни владел этим центром сертификации, он может выдавать произвольные сертификаты даже для существующих доменов, таких как google.com, и ваше приложение будет слепо доверять этим поддельным сертификатам, что делает возможным участие в промежуточных атаках.