Cadeia de certificado SSL explicada
cadeia certificado ssl · certificado intermediário · root ca trust store
Como funcionam cadeias SSL, por que intermediários faltando causam erros untrusted e como verificar a cadeia completa online.
Por Equipe de rede DN01
Navegadores confiam no leaf só se construírem caminho até root CA já no trust store do SO ou navegador. Servidor deve enviar leaf mais intermediários necessários — não a root.
Erros de cadeia são o problema TLS «funciona na minha máquina» mais comum após expiração. SSL Certificate Checker lista cada certificado em ordem para comparar com documentação do vendor.
Leaf, intermediate e root
Leaf (end-entity): emitido para seu hostname, contém SAN/CN, vida mais curta.
Intermediate: assinado por root ou outro intermediate, assina leaf certs, deve estar configurado no servidor.
Root: autoassinada, pré-instalada em trust stores — nunca implante arquivos root em servidores web públicos.
Corrigir cadeias incompletas
Baixe «full chain» ou «CA bundle» do vendor (ex. arquivos de cadeia Let's Encrypt R3 + ISRG Root X1) e configure nginx, Apache ou load balancer para servir leaf + intermediários juntos.
Após deploy, rode SSL Checker novamente — Android e Chrome desktop usam caminhos de confiança e cache diferentes.
Evite concatenar intermediários expirados de posts antigos; use documentação atual do emissor.
Perguntas frequentes
- Por que um navegador confia e outro não?
Muitas vezes entrega incompleta de cadeia ou intermediate antigo ausente em um caminho. Verifique cadeia completa de checker externo.
- Posso usar vários intermediários?
Sim — ordem importa. Servidor envia leaf primeiro, depois intermediários até (sem incluir) root.
- A cadeia afeta TLS de e-mail?
SMTP STARTTLS usa mesmas regras de cadeia X.509 para servidores de mail com certificados.