Должен ли корневой сертификат быть включен в комплект CA?

Недавно я посетил Qualys SSL Server Test, чтобы убедиться, что сертификат Namecheap был установлен правильно. Все выглядело хорошо, за исключением одной проблемы с цепочкой ("Содержит якорь"):

Кажется, что я должен быть в состоянии решить эту проблему, удалив AddTrust External CA Root, который уже присутствует в (большинстве?) Хранилищах доверия. Однако в собственных инструкциях по установке Namecheap прямо указано, что это один из трех сертификатов в их комплекте CA:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

Безопасно ли игнорировать инструкции Namecheap и удалить сертификат AddTrust External CA Root из цепочки? Если так, почему Namecheap включил бы это во-первых?

2 ответа

Нет смысла включать это. Если клиентский браузер или библиотека имеет его в качестве доверенного сертификата, то, очевидно, ему не нужна еще одна копия, если он не имеет ее, то в том числе не заставит доверять ей.

Я понятия не имею, почему Namecheap будет включать его в свои инструкции. Обилие осторожности? Это не ошибка или нарушение спецификации соответствия, чтобы включить его. Ваш сайт будет нормально работать с ним. Однако это немного (очень) немного увеличит время обработки рукопожатия и не будет служить никаким другим практическим целям, поэтому Qualys включает его в качестве предупреждения.

https://community.qualys.com/thread/11234

Похоже, что некоторые другие имели эту проблему- и да, было бы безопасно игнорировать инструкции по настройке NameCheap по ссылке:

Да, это правильно. Это не проблема в том смысле, что привязка не разрешена, а в том, что дополнительный сертификат (который не имеет смысла) увеличивает задержку рукопожатия. Некоторых это волнует, поэтому предоставьте информацию в тесте.

Другие вопросы по тегам