Catena certificato SSL spiegata
catena certificato ssl · certificato intermedio · root ca trust store
Come funzionano le catene SSL, perché intermediate mancanti causano errori untrusted e come verificare la catena completa online.
Di Team rete DN01
I browser si fidano del leaf solo se possono costruire un percorso verso root CA già nel trust store OS o browser. Il server deve inviare leaf più intermediate necessari — non la root.
Errori di catena sono il problema TLS «funziona da me» più comune dopo scadenza. L'SSL Certificate Checker elenca ogni certificato in ordine per confronto con documentazione vendor.
Leaf, intermediate e root
Leaf (end-entity): emesso al vostro hostname, contiene SAN/CN, durata più breve.
Intermediate: firmato da root o altro intermediate, firma leaf cert, deve essere configurato sul server.
Root: autofirmata, preinstallata nei trust store — non deployate file root su server web pubblici.
Correggere catene incomplete
Scaricate «full chain» o «CA bundle» del vendor (es. file catena Let's Encrypt R3 + ISRG Root X1) e configurate nginx, Apache o load balancer per servire leaf + intermediate insieme.
Dopo deploy, rieseguite SSL Checker — Android e Chrome desktop usano percorsi fiducia e cache diversi.
Evitate concatenare intermediate scaduti da vecchi post forum; usate documentazione attuale dell'emittente.
Domande frequenti
- Perché un browser si fida e un altro no?
Spesso consegna catena incompleta o vecchio intermediate assente su un percorso client. Verificate catena completa da checker esterno.
- Posso usare più intermediate?
Sì — l'ordine conta. Il server invia leaf prima, poi intermediate fino a (senza includere) root.
- La catena influisce sul TLS email?
SMTP STARTTLS usa le stesse regole catena X.509 per server mail con certificati.