Должен ли корневой сертификат быть включен в комплект CA?
Недавно я посетил Qualys SSL Server Test, чтобы убедиться, что сертификат Namecheap был установлен правильно. Все выглядело хорошо, за исключением одной проблемы с цепочкой ("Содержит якорь"):
Кажется, что я должен быть в состоянии решить эту проблему, удалив AddTrust External CA Root, который уже присутствует в (большинстве?) Хранилищах доверия. Однако в собственных инструкциях по установке Namecheap прямо указано, что это один из трех сертификатов в их комплекте CA:
ComodoRSADomainValidationSecureServerCA.crt
COMODORSAAddTrustCA.crt
AddTrustExternalCARoot.crt
Безопасно ли игнорировать инструкции Namecheap и удалить сертификат AddTrust External CA Root из цепочки? Если так, почему Namecheap включил бы это во-первых?
2 ответа
Нет смысла включать это. Если клиентский браузер или библиотека имеет его в качестве доверенного сертификата, то, очевидно, ему не нужна еще одна копия, если он не имеет ее, то в том числе не заставит доверять ей.
Я понятия не имею, почему Namecheap будет включать его в свои инструкции. Обилие осторожности? Это не ошибка или нарушение спецификации соответствия, чтобы включить его. Ваш сайт будет нормально работать с ним. Однако это немного (очень) немного увеличит время обработки рукопожатия и не будет служить никаким другим практическим целям, поэтому Qualys включает его в качестве предупреждения.
Похоже, что некоторые другие имели эту проблему- и да, было бы безопасно игнорировать инструкции по настройке NameCheap по ссылке:
Да, это правильно. Это не проблема в том смысле, что привязка не разрешена, а в том, что дополнительный сертификат (который не имеет смысла) увеличивает задержку рукопожатия. Некоторых это волнует, поэтому предоставьте информацию в тесте.