SECURITY Handleiding

Certificate Chain: Valideer de Volledige SSL-Certificaatketen

Hoe de vertrouwensketen van certificaten werkt, hoe u ontbrekende tussencertificaten diagnosticeert en fouten oplost.

De vertrouwensketen: van leaf naar root

De beveiliging van SSL-certificaten is gebaseerd op een hierarchische vertrouwensketen. Uw certificaat (leaf certificate) wordt niet direct vertrouwd door de browser: het is ondertekend door een tussenliggende CA, die op zijn beurt is ondertekend door een root-CA. De browser heeft een trust store met vertrouwde root-CAs (ongeveer 150 root-CAs in moderne browsers). Om uw certificaat te vertrouwen, moet de browser de volledige keten kunnen opbouwen van het leaf tot een root-CA in zijn trust store. Als een schakel ontbreekt, breekt de keten en toont de browser een fout.

Het Certificate Chain tool visualiseert de volledige keten die door de server wordt geretourneerd, verifieert de handtekening van elk certificaat, de geldigheidsdatums van elk en de volledigheid van de keten. Het is gedetailleerder dan de SSL Check: terwijl die een algeheel cijfer biedt, richt Certificate Chain zich specifiek op de ketenstructuur en identificeert ontbrekende certificaten, certificaten in de verkeerde volgorde en verlopen certificaten in de keten.

Veelvoorkomende ketenproblemen

Correcte vs. onvolledige certificaatketen
# Catena CORRETTA (3 certificati)
[1] CN=esempio.com          (leaf - il tuo certificato)
  ↓ firmato da
[2] CN=Let's Encrypt R3      (CA intermedia)
  ↓ firmato da
[3] CN=ISRG Root X1          (root CA - nel trust store)

# Catena INCOMPLETA (manca l'intermedio)
[1] CN=esempio.com          (leaf)
  ↓ firmato da
[?] MANCANTE!                ← errore per alcuni browser
  ↓
[3] CN=ISRG Root X1          (root - non raggiungibile)

Het meest voorkomende probleem is het ontbrekende tussencertificaat. De server moet het leaf en alle tussencertificaten verzenden (maar niet de root). Als een tussencertificaat ontbreekt, kunnen sommige browsers en clients (vooral mobiele, cURL, Java-applicaties) de keten niet valideren en tonen een fout. Chrome op desktop werkt vaak toch omdat het automatisch ontbrekende tussencertificaten downloadt (AIA fetching), waardoor het probleem wordt gemaskeerd. Daarom is het essentieel om te testen met een gespecialiseerd hulpmiddel zoals onze Certificate Chain.

De keten correct configureren

Om de keten correct te configureren, voegt u het servercertificaat samen met de tussencertificaten in een enkel bestand (bundle of fullchain). De volgorde is: leaf eerst, dan de tussencertificaten van het dichtst bij de leaf tot het dichtst bij de root. Neem het rootcertificaat niet op. Op Nginx: ssl_certificate verwijst naar de fullchain. Op Apache: SSLCertificateFile voor het leaf, SSLCertificateChainFile voor de tussencertificaten. Let's Encrypt levert direct het fullchain.pem-bestand met leaf + tussencertificaten.

Na configuratie verifieert u met Certificate Chain en met SSL Check voor het cijfer. Als u certificaten uitgeeft voor meerdere subdomeinen, verifieer de keten op elk — de configuratie kan verschillen. Verifieer ook dat uw domein CAA Record Lookup-records geconfigureerd heeft om te beperken welke CAs certificaten mogen uitgeven, waardoor een extra beschermingslaag aan uw PKI wordt toegevoegd.

Een bijzonder geval is cross-signing: Let's Encrypt gebruikte aanvankelijk een tussencertificaat dat was cross-signed door de root DST Root CA X3 (ouder en wijder verspreid) om compatibiliteit te garanderen met Android-apparaten ouder dan 7.1. Met de overgang naar hun eigen root ISRG Root X1 kunnen sommige oudere apparaten problemen hebben. Als uw publiek zeer oude apparaten omvat, verifieer de ketencompatibiliteit met die specifieke clients.

Probeer Certificate Chain gratis
Bekijk en valideer de volledige SSL-certificaatketen
Gebruik Certificate Chain >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →