서버 인증서는 leaf에서 root trust anchor까지 이어져야 한다
서버는 leaf와 intermediate를 보내고, 브라우저는 로컬 신뢰 저장소의 root까지 서명 사슬이 이어지는지 확인한다.
leaf
example.com 인증서
SAN에 접속 이름이 있고, 서버 공개키와 용도가 들어 있다.
signed by
intermediate CA
실제 발급을 담당
루트 대신 서버 인증서를 서명하며, 사고 시 교체 가능한 경계가 된다.
trusted by
root CA
브라우저/OS의 trust anchor
대개 서버가 보내지 않고 클라이언트 신뢰 저장소에 이미 들어 있다.
검사
통과 조건
실패하면
이름
SAN dNSName이 접속 호스트와 일치
다른 사이트 인증서로 판단
기간
notBefore와 notAfter 사이
만료 또는 아직 유효하지 않음
사슬
leaf → intermediate → trusted root
unknown issuer 또는 incomplete chain
용도
serverAuth와 서명 알고리즘 정책 통과
브라우저가 연결을 차단하거나 경고
root는 오프라인에 가깝게
루트 개인키가 흔들리면 전체 신뢰 체계가 무너져서 직접 발급에 쓰지 않는다.
intermediate는 교체 가능
발급 업무를 맡기고 문제가 생기면 해당 중간 CA를 폐기하거나 교체한다.
leaf만으로는 부족
서버 인증서 하나만 맞아 보여도 신뢰 사슬과 이름 검사가 함께 통과해야 한다.