이름 일치접속한 DNS 이름이 SAN dNSName과 맞아야 한다.
X.509 certificate
인증서는 서비스 이름과 공개키를 CA 서명으로 묶는다
브라우저가 보는 핵심은 leaf 인증서의 SAN 이름, 공개키, 유효기간, 용도, 그리고 발급자 서명이다.
인증서 필드
브라우저 검증
주의 지점
SubjectAltNamedNSName: example.com, www.example.com
Subject public key서버 인증 서명을 확인할 공개키
Issuer / Validity발급자 이름과 notBefore, notAfter 기간
Key Usage / EKUDigital Signature, Server Authentication 등
CA signature인증서 본문을 발급자 개인키로 서명
기간과 용도현재 시각과 인증서 용도가 서버 인증에 맞는지 본다.
서명 체인발급자 공개키로 서명을 검증하며 trust anchor까지 올라간다.
폐기 상태정책에 따라 OCSP나 CRL로 폐기 여부를 확인한다.
현대 TLS 서비스 이름 검증은 Common Name보다 subjectAltName을 기준으로 한다. CN만 맞는 인증서를 정상이라고 단정하면 안 된다.