certificate validation

HTTPS 인증서는 체인, 이름, 용도, 폐지 상태를 모두 통과해야 한다

브라우저는 서버가 제시한 인증서를 루트 CA까지 따라가며 서명과 유효기간을 검증하고, 접속 도메인이 SAN에 있는지와 인증서가 폐지되지 않았는지까지 확인합니다.

chain

루트까지 연결

서버 인증서, 중간 CA, 신뢰 저장소의 루트 CA가 끊기지 않아야 합니다.

signature

상위 공개키 검증

각 인증서의 서명을 발급자 공개키로 확인해 위조 체인을 걸러냅니다.

validity

기간 확인

notBefore와 notAfter가 현재 시각을 포함하지 않으면 연결을 신뢰하지 않습니다.

SAN

도메인 일치

접속한 hostname이 SAN DNS 이름에 없으면 인증서가 유효해도 실패합니다.

EKU

서버 용도

Extended Key Usage가 TLS Web Server Authentication에 맞는지 봅니다.

revocation

폐지 확인

CRL 또는 OCSP로 유출, 오발급, 철회된 인증서를 걸러냅니다.

algorithm

최신 기준

약한 해시, 짧은 키, 오래된 알고리즘은 정책상 거부될 수 있습니다.

답안 뼈대
체인 서명 SAN 폐지

실기 답안은 신뢰 체인과 서명 검증을 먼저 말하고, 도메인 일치와 폐지 확인을 빠뜨리지 않는 순서로 씁니다.

감점 지점

CN만 쓰거나 폐지를 빼면 답안이 약해집니다

현대 브라우저 검증은 SAN 중심이며, 개인키 유출이나 CA 사고가 있으면 유효기간이 남아도 CRL/OCSP에서 차단될 수 있습니다.