Certificados emitidos para entidades finais (por exemplo, servidor da web) por uma CA geralmente são emitidos por meio de uma CA intermediária (também conhecida como cadeia). Há várias razões para isso. Era muito comum quando as CAs começavam a emitir certificados dessa maneira para os operadores do servidor falharem na instalação da CA intermediária, visitando usuários que não possuem uma cópia armazenada em cache (ou instalada) do certificado da cadeia em uma situação em que possuem a raiz cert e o certificado EE, mas não há como conectá-los. Isso é muito menos comum hoje em dia, mas pode ser o problema que você está enfrentando - é isso ao visitar um servidor público - se for esse o caso, procurarei por você. Você sempre pode dar uma olhada no issuerName do certificado EE que você não pode verificar e ver se você pode encontrar um certificado 'intermediário CA' correspondente no site da VeriSign .. se assim você deve ser capaz de verificar o EE com o intermediário e o intermediário com a raiz.Se você estiver fazendo isso manualmente, eu sugiro que você faça a validação cert também - OCSP é suportado pela VeriSign em todas as suas ACs ... a maioria (todas?) CAs premium sobre essa forma de tempo real / quase real validação de tempo ... caso contrário, o melhor seria CRLs.