Łańcuch certyfikatu SSL — wyjaśnienie
łańcuch certyfikatu ssl · certyfikat pośredni · root ca trust store
Jak działają łańcuchy SSL, dlaczego brakujące intermediate powodują błędy untrusted i jak zweryfikować pełny łańcuch online.
Autor: Zespół sieciowy DN01
Przeglądarki ufają certyfikatowi leaf tylko wtedy, gdy mogą zbudować ścieżkę do root CA już w trust store OS lub przeglądarki. Serwer musi wysłać leaf plus wymagane intermediate — nie root.
Błędy łańcucha to najczęstszy problem TLS «u mnie działa» po wygaśnięciu. SSL Certificate Checker listuje każdy certyfikat w kolejności do porównania z dokumentacją vendora.
Leaf, intermediate i root
Leaf (end-entity): wydany na twój hostname, zawiera SAN/CN, najkrótszy okres ważności.
Intermediate: podpisany przez root lub inny intermediate, podpisuje leaf certs, musi być skonfigurowany na serwerze.
Root: self-signed, wstępnie zainstalowany w trust stores — nigdy nie wdrażaj plików root na publiczne serwery web.
Naprawa niepełnych łańcuchów
Pobierz vendor «full chain» lub «CA bundle» (np. pliki łańcucha Let's Encrypt R3 + ISRG Root X1) i skonfiguruj nginx, Apache lub load balancer, by serwował leaf + intermediate razem.
Po wdrożeniu uruchom ponownie SSL Checker — Android i Chrome desktop używają różnych ścieżek zaufania i cache.
Unikaj łączenia wygasłych intermediate ze starych postów na forach; używaj aktualnej dokumentacji wydawcy.
Najczęściej zadawane pytania
- Dlaczego jedna przeglądarka ufa, a inna nie?
Często niepełna dostawa łańcucha lub brak starego intermediate na jednej ścieżce klienta. Zweryfikuj pełny łańcuch z zewnętrznego checkera.
- Czy mogę używać wielu intermediate?
Tak — kolejność ma znaczenie. Serwer wysyła leaf pierwszy, potem intermediate aż do (bez) root.
- Czy łańcuch wpływa na TLS poczty?
SMTP STARTTLS używa tych samych reguł łańcucha X.509 dla serwerów pocztowych z certyfikatami.