Notes d'étude
Chaîne de certificats SSL pour les débutants (comme moi)
chaîne de certificats ssl · certificat intermédiaire · magasin de confiance root ca France
Notes débutant sur les chaînes de certificats SSL, les AC intermédiaires et pourquoi les navigateurs ont besoin de la chaîne complète installée sur le serveur.
Je pensais qu'un seul fichier de certificat suffisait. Que nenni. Le serveur doit envoyer le feuille + la chaîne intermédiaire pour que le navigateur puisse construire un chemin vers un CA racine dans le magasin de confiance.
Quand la chaîne est incomplète, Android peut fonctionner et Chrome desktop peut ne pas le faire — super agaçant. Les vérificateurs SSL en ligne montrent chaque certificat dans l'ordre, ce qui aide pour les rapports de TP.
Le certificat intermédiaire est signé par le root (ou un autre intermédiaire). On n'installe pas le root sur le serveur — il est déjà dans l'OS/navigateur. L'intermédiaire manquant est l'erreur de chaîne n°1 qu'on a vue lors des démos en cours.
Les requêtes comme « chaîne de certificats ssl expliquée » ont un volume de recherche moyen car les blogs DevOps sont longs et les étudiants veulent une version courte. Voici la version courte.
Si l'émetteur sur la feuille dit Let's Encrypt R3 ou similaire, cherchez la documentation du fournisseur pour le bon fichier bundle. Copier-coller le mauvais bundle = erreurs de chaîne jusqu'à ce que vous le corrigiez.