Chaîne de certificat SSL expliquée
chaîne certificat ssl · certificat intermédiaire · root ca trust store
Comment fonctionnent les chaînes SSL, pourquoi des intermédiaires manquants provoquent des erreurs untrusted et comment vérifier la chaîne complète en ligne.
Par Équipe réseau DN01
Les navigateurs ne font confiance au leaf que s'ils peuvent construire un chemin vers une root CA déjà dans le trust store OS ou navigateur. Le serveur doit envoyer leaf plus intermédiaires requis — pas la root.
Les erreurs de chaîne sont le problème TLS « ça marche chez moi » le plus fréquent après expiration. Le SSL Certificate Checker liste chaque certificat dans l'ordre pour comparer à la doc vendor.
Leaf, intermediate et root
Leaf (end-entity) : émis pour votre hostname, contient SAN/CN, durée de vie la plus courte.
Intermediate : signé par root ou autre intermediate, signe les leaf certs, doit être configuré sur le serveur.
Root : auto-signée, préinstallée dans trust stores — ne déployez jamais de fichiers root sur serveurs web publics.
Corriger les chaînes incomplètes
Téléchargez la « full chain » ou « CA bundle » du vendor (ex. fichiers chaîne Let's Encrypt R3 + ISRG Root X1) et configurez nginx, Apache ou load balancer pour servir leaf + intermédiaires ensemble.
Après déploiement, relancez le SSL Checker — Android et Chrome desktop utilisent des chemins de confiance et cache différents.
Évitez de concaténer des intermédiaires expirés de vieux forums ; utilisez la doc actuelle de l'émetteur.
Questions fréquentes
- Pourquoi un navigateur fait confiance et pas un autre ?
Souvent livraison de chaîne incomplète ou vieux intermediate absent sur un chemin client. Vérifiez la chaîne complète depuis un checker externe.
- Puis-je utiliser plusieurs intermédiaires ?
Oui — l'ordre compte. Le serveur doit envoyer leaf d'abord, puis intermédiaires jusqu'à (sans inclure) root.
- La chaîne affecte-t-elle le TLS mail ?
SMTP STARTTLS utilise les mêmes règles de chaîne X.509 pour serveurs mail présentant des certificats.