Isso não pode ser garantido como possível.
A partir do certificado intermediário, você sempre pode encontrar a identidade do emissor e opcionalmente o identificador de chave de autoridade (basicamente o número de série do certificado de CA mais alto) e / ou a extensão de acesso a informações de autoridade que pode ou não conter o URL que aponta para o certificado raiz.
Da mesma forma, o certificado do site sempre conterá a identidade da CA intermediária (como o emissor) e as extensões opcionais poderão incluir o número de série e a URL do certificado CA intermediário, mas isso é não estritamente garantido.
Você pode obter todas as informações "interessantes" de um certificado com este comando openssl:
openssl x509 -noout -text -certopt no_pubkey,no_sigdump,no_header,ext_parse -nameopt multiline,show_type -in <certificate filename>
Com certeza, esse é um comando longo e complexo, e você pode querer criar um alias dele. Em muitos casos, uma versão mais simples é útil o suficiente para aprender e lembrar:
openssl x509 -noout -text -in <certificate filename>
A saída desse comando inclui alguns dumps hexadecimais geralmente inúteis e pode não apresentar extensões de certificado novas ou desconhecidas de uma maneira muito útil, mas, para a maioria das finalidades, será bom o suficiente.
Seguindo a corrente, o outro caminho é ainda mais difícil. Como o certificado raiz geralmente tem uma duração muito maior que os intermediários, o número de série e / ou a URL de download do certificado intermediário não serão necessariamente conhecidos no momento da criação do certificado da CA raiz.
Você não deve confiar nas informações dos certificados de sites aleatórios antes de verificar com sucesso a cadeia de confiança do certificado. O site pode, como um recurso de conveniência, fornecer a você o certificado de CA intermediário (supostamente), mas para realmente validar isso, o certificado raiz já deve estar em seu próprio armazenamento de certificados raiz confiáveis.
Na verdade, você provavelmente estará mais seguro se não conseguir detectar automaticamente a URL do certificado de CA raiz de uma autoridade de certificação desconhecida do site ou do certificado intermediário: você precisaria pesquisar no Google essa CA e, se houver / era um certificado de CA forjado em uso por esse nome de CA, você teria a chance de ver artigos de notícias sobre ele.
Você teria, então, a chance de analisar melhor os detalhes do certificado e da própria autoridade de certificação e avaliar se ela é confiável o suficiente ou não. Esta é essencialmente a razão pela qual ao instalar um novo certificado de CA raiz, um ser humano deve estar sempre no loop .