Não é nenhum deles. Normalmente, os servidores TLS enviam somente as CAs intermediárias; eles não enviam a CA raiz, pois podem seguramente assumir que:
- Ele já estará presente na lista de âncoras de confiança do cliente (CA confiável), portanto, desnecessária
- Se não estiver presente, isso significa que o cliente não confia nele, portanto, incluir não mudaria nada.
Em geral, a opção mais confiável seria usar o conjunto de certificados de CA da Mozilla , que tem certificados de CA para verificar a maioria dos sites.
Se por algum motivo você não puder usá-lo, primeiro veja o último certificado na cadeia (GeoTrust emitido pela Equifax), então encontre seu emissor (Equifax) na lista de CA do seu sistema e extraia para um arquivo.
(Embora CAs tecnicamente intermediárias também possam atuar como âncoras de confiança, as versões mais antigas do OpenSSL aceitarão apenas CAs raiz aqui.)