На некоторых сайтах цепочка сертификатов не может быть построена на доверенном корневом сертификате, поскольку этот доверенный корневой сертификат не известен Windows. Но если мы посещаем такой сайт с помощью IE или Chrome, Windows автоматически загружает (проверяет) доверенный корень куда-то и молча устанавливает его в хранилище доверенных центров сертификации. После этого мы можем построить цепочку сертификатов до только что установленного корня. Если мы вручную удалим недавно загруженный доверенный корневой сертификат из хранилища Windows, цепочка не сможет быть построена снова.
Я знаю о расширении доступа к авторитетной информации. Проблема в том, что самый верхний доступный сертификат в цепочке (дочерний элемент отсутствующего доверенного корня) НЕ имеет такого расширения. И даже если бы это было так, Windows не стала бы автоматически доверять загруженному сертификату.
Значит, должен быть какой-то другой источник знаний о доверенных корнях. Вопрос в том, как мы можем использовать этот источник сами. Самый верхний доступный сертификат доступен здесь, если кто-то заинтересован в его проверке.