Intermediate CA (промежуточный удостоверяющий центр) — сертификат в иерархии PKI (Public Key Infrastructure), занимающий позицию между корневым (Root CA) и конечным пользовательским сертификатом. Корневой CA подписывает сертификат Intermediate CA, а тот уже подписывает сертификаты сайтов. Эта трёхуровневая модель — стандарт современной инфраструктуры открытых ключей.
Как работает
Цепочка доверия (Certificate Chain) при TLS-соединении выглядит так: браузер получает от сервера цепочку сертификатов — сертификат сайта + сертификат Intermediate CA. Браузер проверяет, что сертификат сайта подписан Intermediate CA, а тот — корневым CA, хранящимся в доверенном хранилище ОС или браузера. Если промежуточный сертификат не отправлен сервером, возникает ошибка «incomplete chain».
Промежуточный CA существует по соображениям безопасности: корневые CA хранятся в максимально защищённых HSM (Hardware Security Module) офлайн — они не используются ежедневно. Intermediate CA может быть скомпрометирован и отозван без замены корневого CA. Отзыв промежуточного сертификата моментально делает недействительными все выпущенные им сертификаты.
При установке SSL-сертификата на сервер к файлу сертификата прикладывается цепочка промежуточных CA (bundle или chain file). В Nginx это конфигурируется директивой ssl_certificate, в которую включён и сертификат домена, и промежуточный.
История
Концепция промежуточных CA закреплена в стандарте X.509 (ITU-T 1988), введена как обязательная практика с 1990-х годов. CA/Browser Forum в Baseline Requirements (2012) прямо запрещает выдачу сертификатов конечным сущностям напрямую с корневого CA. Отзыв Symantec в 2018 году и DigiNotar в 2011 году наглядно показали, как компрометация промежуточного CA ведёт к массовому недоверию.
Связь с хостингом
Самые распространённые ошибки при установке SSL на хостинге — именно с промежуточным CA. Без bundle-файла браузеры выдают «SSL certificate not trusted» или «incomplete certificate chain». Для диагностики используйте SSL Labs (ssllabs.com/ssltest) — он показывает полноту цепочки. Let's Encrypt автоматически включает промежуточный сертификат в выпускаемые файлы.
Цепочка доверия SSL
Root CA → Intermediate CA → Сертификат домена. Root CA хранятся в хранилище браузера/ОС. Intermediate CA выпускает сертификаты для доменов, изолируя Root CA от прямого использования. Если Root CA скомпрометирован — отозвать все сертификаты по цепочке.
Проблемы с цепочкой
Неполная цепочка — частая ошибка: браузер видит «ненадёжный сертификат» даже при валидном сертификате домена. Проверка: openssl s_client -connect domain.ru:443 -showcerts. Исправление в Nginx: ssl_certificate должен содержать fullchain (домен + intermediate + root).
Certificate Transparency Log
С 2018 года все публично доверенные SSL-сертификаты обязаны логироваться в Certificate Transparency Log (RFC 6962). Браузеры отказывают сертификатам без CT-записей. Это позволяет обнаруживать несанкционированные сертификаты — можно мониторить через crt.sh.
Обновление цепочки при ротации Intermediate CA
Let's Encrypt ротирует Intermediate CA: R3 → E5/E6 (ECDSA), R10/R11 (RSA). Certbot автоматически обновляет fullchain. Для самостоятельно управляемых сертификатов: при истечении Intermediate CA нужно обновить fullchain на всех серверах. Мониторинг: crt.sh отслеживает выдаваемые сертификаты для вашего домена.