certificate

HTTPS 인증서는 체인, 이름, 용도, 폐지 상태를 모두 통과해야 한다

브라우저는 서버 인증서를 루트 CA까지 따라가며 서명, 유효기간, SAN, EKU, CRL/OCSP를 순서대로 확인한다.

01chain

서버 인증서에서 중간 CA와 루트 CA까지 끊기지 않아야 한다.

02signature

각 인증서의 서명을 발급자 공개키로 검증한다.

03validity + SAN

현재 시간이 유효기간 안이고 접속 hostname이 SAN에 있어야 한다.

04EKU + revocation

서버 인증 용도와 폐지 여부를 확인한다.

구분의미판단
CN만 확인현대 브라우저 기준 부족SAN DNS 이름을 우선 확인
유효기간만 확인폐지 누락CRL 또는 OCSP까지 봐야 한다.
약한 알고리즘정책상 거부 가능짧은 키와 오래된 해시를 점검

핵심 인증서 답안은 신뢰 체인과 서명 검증을 먼저 말하고, 도메인 일치와 폐지 확인을 빠뜨리지 않는 순서가 좋다.