Não tenho certeza sobre o wget ou o curl, mas o seguinte funciona se você estiver preocupado apenas com a chave pública.
openssl s_client -connect hostname.domain.tld:port 2>&1 </dev/null | sed -ne '/BEGIN CERT/,/END CERT/p'
Geralmente, quando eles estão falando sobre o download do certificado, ele seria o certificado raiz. Você pode encontrar o da Verisign com o seguinte comando e, em seguida, enviar ou curvar o certificado raiz ao sistema para autenticar com certificados Verisign. Neste caso, é especificamente a raiz "VeriSign Classe 3 Extended Validation SSL SGC CA".
$ openssl s_client -connect verisign.com:443 2>&1 </dev/null | openssl x509 -noout -text | grep "CA Issuers"
CA Issuers - URI:http://EVIntl-aia.verisign.com/EVIntl2006.cer
O comando acima deve funcionar para praticamente qualquer servidor que exiba um certificado encadeado.