Notas de estudo
Cadeia de certificados SSL para iniciantes (como eu)
cadeia de certificados ssl · certificado intermediário ssl · root ca store brasil
Notas para iniciantes sobre cadeias de certificados SSL, CAs intermediárias e por que os navegadores precisam da cadeia completa instalada no servidor.
Achei que um arquivo cert era suficiente. Errado. O servidor deve enviar o leaf + cadeia intermediária para que o navegador possa construir um caminho até uma CA raiz no trust store.
Quando a cadeia está incompleta, o Android pode funcionar e o Chrome no desktop pode não funcionar — super frustrante. Verificadores SSL online mostram cada cert em ordem, o que ajuda nos relatórios de laboratório.
Certificado intermediário é assinado pela raiz (ou outro intermediário). Você não instala a raiz no servidor — ela já está no SO/navegador. Intermediário faltando é o erro número 1 de cadeia que vimos nas demos de aula.
Palavras-chave como «cadeia de certificados ssl explicada» têm volume de pesquisa médio porque blogs de DevOps são longos e estudantes querem uma versão curta. Esta é a versão curta.
Se o emissor no leaf diz Let's Encrypt R3 ou similar, pesquise nos docs do fornecedor o arquivo bundle correto. Colar bundle errado = erros de cadeia até você corrigir.