A root CA nem ír alá végfelhasználói tanúsítványt, így muszáj, hogy legyen intermediate ca. E nélkül törött lesz a tanúsítási lánc.
Minden TLS titkosított szolgáltatás tanúsítvány láncot kell, hogy vissza adjon a handshake -kor, de a lánc ellenőrzése részben nem kötelező, részben pedig az ellenőrzés mélysége tetszőleges.
Ha TLS titkosítást állítasz be egy szolgáltatáson, érdemes testssl.sh -val ellenőrizni, de ez már egy másik topik.