CERTIFICATE CHAIN
서명은 아래로 내려오고, 검증은 신뢰 저장소까지 올라간다
서버는 leaf와 intermediate를 보내고, 클라이언트는 로컬에 저장된 root와 이어지는지 역방향으로 확인합니다.
Root CA는 서버가 보내는 값이 아니다
leaf → intermediate → local root
신뢰의 시작점은 OS나 브라우저 trust store에 이미 들어 있는 root
인증서입니다.
서명 방향
Root에서 Leaf로 내려감
trust anchor
Root CA
오프라인에 가깝게 보호되는 최상위 공개키입니다.
delegation
Intermediate CA
루트가 서명해 실제 발급 권한을 위임한 인증서입니다.
server identity
Leaf certificate
example.com 이름과 서버 공개키를 담고 있습니다.
발급Root가 Intermediate를, Intermediate가 Leaf를
서명합니다.
검증클라이언트는 Leaf에서 시작해 Root까지 거슬러
올라갑니다.
01
Leaf 서명 확인
Intermediate 공개키로 서버 인증서 서명이 맞는지 봅니다.
02
Intermediate 서명 확인
Root 공개키로 중간 CA 인증서의 발급 권한을 확인합니다.
03
Trust store 도달
마지막 root가 로컬 신뢰 저장소에 있어야 체인이
닫힙니다.
04
정책 조건 확인
이름, 기간, Key Usage, 폐기 상태, 경로 제약까지 함께
봅니다.
이름 불일치SAN에 접속한 호스트가 없으면 실패합니다.
기간 만료Not Before와 Not After 범위를 벗어나면 실패합니다.
폐기 상태OCSP나 CRL에서 폐기된 인증서면 신뢰하지 않습니다.