Что такое certificate chain?

Цепочка сертификатов: сертификат сервера → промежуточный CA → корневой CA. Браузер/клиент доверяет корневым CA (предустановлены в ОС). Сервер отправляет свой сертификат + промежуточные. Клиент строит цепочку до доверенного корня и проверяет каждую подпись. Если промежуточный не отправлен — клиент может не построить цепочку и отклонить. В Go: tls.Config{Certificates: []tls.Certificate{cert}} — cert должен содержать полную цепочку. Let's Encrypt выдаёт сертификат + промежуточный, fullchain.pem содержит оба.