인증서 경로 검증

PKI는 공개키의 주인과 인증서 상태를 함께 검증한다

HTTPS 신뢰는 서버 인증서의 SubjectAltName, 중간 CA 체인, 루트 CA 신뢰, OCSP/CRL 폐지 상태가 모두 맞을 때 성립합니다.

SubjectAltName issuer chain signature OCSP / CRL
이름 일치

브라우저는 URL 호스트가 인증서의 SAN에 있는지 확인하고 CN만 믿는 오래된 방식은 피합니다.

체인 구축

서버 인증서에서 중간 CA를 거쳐 OS·브라우저 trust store의 루트 CA까지 issuer를 따라갑니다.

서명·기간

각 인증서의 서명 알고리즘, Not Before/After, key usage, basic constraints를 함께 검증합니다.

폐지 상태

CRL이나 OCSP로 폐지 여부를 확인해야 탈취·오발급 인증서를 걸러낼 수 있습니다.

호스트명

SAN과 URL host 일치

경고 대응

만료·이름 불일치 무시 금지

개인키

유출 시 즉시 폐지와 재발급