Что обычно проверят
- дату окончания сертификата
- CN должен совпадать с доменным именем к которому идет подключение
- key Usage, что сертификат может использоваться для этого
- AKI сертификата сервера совпадает с SKI сертификата CA, по факту что они подписал второй
- кешируют thumbprint текущего сертификата, что бы проверять когда его обновят или подсунут левый
в форме подключения обычно можно встретить галочку "Игнорировать проблемы сертификата".