Цепочка SSL-сертификата — объяснение
цепочка ssl сертификата · промежуточный сертификат · root ca trust store
Как работают цепочки SSL-сертификатов, почему отсутствие intermediate вызывает ошибки untrusted и как проверить полную цепочку онлайн.
Автор: Команда DN01
Браузеры доверяют leaf-сертификату только когда могут построить путь к root CA, уже находящемуся в trust store ОС или браузера. Сервер должен отправлять leaf плюс необходимые intermediate — не root.
Ошибки цепочки — самая частая TLS-проблема «у меня работает» после истечения срока. SSL Certificate Checker перечисляет каждый сертификат по порядку для сравнения с документацией вендора.
Leaf, intermediate и root
Leaf (end-entity): выдан на ваш hostname, содержит SAN/CN, самый короткий срок жизни.
Intermediate: подписан root или другим intermediate, подписывает leaf-сертификаты, должен быть настроен на сервере.
Root: self-signed, предустановлен в trust stores — никогда не деплойте root-файлы на публичные веб-серверы.
Исправление неполных цепочек
Скачайте vendor «full chain» или «CA bundle» (например, файлы цепочки Let's Encrypt R3 + ISRG Root X1) и настройте nginx, Apache или балансировщик на отдачу leaf + intermediates вместе.
После деплоя перезапустите SSL Checker — Android и desktop Chrome используют разные пути доверия и кэширование.
Не склеивайте просроченные intermediate из старых форумных постов; используйте актуальную документацию издателя.
Частые вопросы
- Почему один браузер доверяет сайту, а другой нет?
Часто неполная отдача цепочки или старый intermediate отсутствует на одном клиентском пути. Проверьте полную цепочку через внешний checker.
- Можно ли использовать несколько intermediate?
Да — порядок важен. Сервер должен отправлять leaf первым, затем intermediates до (но не включая) root.
- Влияет ли цепочка на TLS для почты?
SMTP STARTTLS использует те же правила X.509-цепочки для почтовых серверов с сертификатами.