Я обнаружил, что с параметром -verify 5
openssl углубляется в цепочку, показывая все сертификаты, даже те, которые не включены в развертывание вашего сертификата.
Если вы действительно хотите понять, какая цепочка предоставляется с вашим сертификатом, вы должны запустить:
openssl s_client -showcerts -partial_chain -connect YOUR_ENDPOINT:443 < /dev/null |less