Redes
10 min de leitura
Certificados X.509: como TLS/SSL realmente funciona
Um certificado X.509 vincula uma chave pública a uma identidade. Por trás do cadeado do navegador há uma cadeia de confiança completa que torna o TLS possível.
Campos importantes
Subject, issuer, validade, chave pública, algoritmo de assinatura e SAN são os campos que mais afetam a implantação real. O SAN é especialmente crítico hoje.
Cadeia de confiança
O navegador não valida apenas o certificado final. Ele também verifica os intermediários até uma raiz confiável. Uma cadeia incompleta pode quebrar clientes móveis ou ferramentas CLI.
CSR e operação
Para emitir um certificado, você primeiro gera a chave privada e depois o CSR. A chave privada nunca deve sair do ambiente que você controla.
Problemas comuns
- Certificados expirados
- Cadeias incompletas
- Nomes de host que não correspondem
- Raízes não confiáveis