Привет! 👋 Сегодня у нас тема, которая всплывает при настройке TLS, Java, nginx, API-шлюза и вообще любой HTTPS-инфраструктуры. 🌿 Что такое leaf certificate и чем отличается от Root и Intermediate? 🌳 Сертификаты 〰️ это дерево доверия Структура сертификатов ROOT CA ➡️ INTERMEDIATE CA ➡️ LEAF Leaf - лист 〰️ это самый нижний сертификат в цепочке, конечная точка ветки дерева 🌳, который принадлежит 🔵 серверу nginx, API gateway, сайту 🔵 или клиенту, если используется mTLS ✅ Аналогия 🔵 Root CA 〰️ это Министерство Образования 🔵 Intermediate 〰️ это Университет 🔵 Leaf 〰️ твой диплом Министерство Образования аккредитует университет ➡️ Университет выдаёт диплом ➡️ Диплом признаётся, потому что университет аккредитован Министерством Образования 🔵 Leaf 🟰 конкретный сервер 🔵 Intermediate 🟰 посредник 🔵 Root 🟰 источник доверия ❓ Чем leaf отличается от остальных Root CA 〰️ корневой центр доверия, который подписывает Intermediate Intermediate CA 〰️ промежуточный УЦ, который подписывает серверы Leaf 〰️ конечный сертификат сервера, который ничего не подписывает 〰️ это просто удостоверение личности сервера. ❓ Почему leaf НЕ кладут в truststore Truststore 〰️ это хранилище доверенных CA-сертов, по которым приложение проверяет цепочку доверия. Java-приложение или браузер проверяет так ✅ Получает серверный сертификат Leaf ✅ Смотрит, кем он подписан, обычно Intermediate, но цепочка может быть и короче ✅ Проверяет цепочку до Root ✅ Если Root есть в truststore 〰️ всё ок Java-приложение доверяет Root CA, а не серверу напрямую. Поэтому в truststore кладут 🔵 Root CA 🔵 иногда Intermediate CA 〰️ если сервер не отдаёт полную цепочку Но не серверный сертификат. ❓ Почему сервер подписан не Root, а Intermediate Root CA 〰️ это святая корова. Его держат оффлайн и используют только для подписи Intermediate. Если скомпрометируют Intermediate 〰️ его отзывают. Если скомпрометируют Root 〰️ ломается всё доверие. Поэтому архитектура почти всегда такая ROOT (офлайн) ➡️ INTERMEDIATE (рабочий) ➡️ SERVER CERT ⚠️ Важно для Java и TLS Когда приложение на Java подключается к серверу ✅ Оно получает Leaf ✅ Проверяет цепочку до Root ✅ Ищет Root в truststore ✅ Если Root доверенный 〰️ соединение устанавливается Truststore 〰️ это список доверенных корней, а не список серверов. ✅ Итого 🔵 Leaf 〰️ это кто я 🔵 Root 〰️ это кому я верю 🔵 Intermediate 〰️ это кто меня подписал Именно так строится вся инфраструктура TLS 〰️ от nginx до серьёзных API. В следующем посте разберём, почему бывает несколько PKI-веток и чем это опасно ⬇️ #leaf #tls #ssl #java #pki #pkix #security #devops