HTTPS 인증서는 체인, 이름, 용도, 폐지 상태를 모두 통과해야 한다
브라우저는 서버 인증서를 루트 CA까지 따라가며 서명, 유효기간, SAN, EKU, CRL/OCSP를 순서대로 확인한다.
서버 인증서에서 중간 CA와 루트 CA까지 끊기지 않아야 한다.
각 인증서의 서명을 발급자 공개키로 검증한다.
현재 시간이 유효기간 안이고 접속 hostname이 SAN에 있어야 한다.
서버 인증 용도와 폐지 여부를 확인한다.
| 구분 | 의미 | 판단 |
|---|---|---|
| CN만 확인 | 현대 브라우저 기준 부족 | SAN DNS 이름을 우선 확인 |
| 유효기간만 확인 | 폐지 누락 | CRL 또는 OCSP까지 봐야 한다. |
| 약한 알고리즘 | 정책상 거부 가능 | 짧은 키와 오래된 해시를 점검 |
핵심 인증서 답안은 신뢰 체인과 서명 검증을 먼저 말하고, 도메인 일치와 폐지 확인을 빠뜨리지 않는 순서가 좋다.