Deste blog .
CAs intermediárias são certificados assinados por uma CA raiz que podem assinar certificados arbitrários para qualquer site.
Eles são tão poderosos quanto as CAs raiz, mas não há uma lista completa daquelas em que seu sistema confia, porque as CAs raiz podem criar novas à vontade e seu sistema confiará nelas à primeira vista. Existem milhares de pessoas logadas no CT.
Este mês, surgiu um interessante, gerado aparentemente em setembro de 2015: "CA Intermediária de Serviços Públicos da Blue Coat", assinado pela Symantec. (Nenhum certificado assinado por esta CA alcançou os logs do CT ou o Censys até o momento.)
Eu pensei que seria uma boa ocasião para escrever como não confiar explicitamente em uma autoridade de certificação intermediária que seria confiável no OS X. Isso não impedirá que a autoridade de certificação raiz entregue um novo intermediário à mesma organização, mas melhor do que nada.
Quando tentei as etapas do blog no Ubuntu, baixei este certificado https://crt.sh/?id=19538258 . Quando abro o .crt, ele é importado para o Gnome Keyring, mas não consegui encontrar uma maneira de "não confiar" no certificado depois de importá-lo.