Я использую сертификат Godaddy, обычно я бы конкатировал сертификат и превратил его в связанный сертификат
cat www.example.com.crt sf_bundle.crt > chained.cert
И в моем nginx.conf
ssl_certificate chained.cert
В браузере я вижу цепочку, как показано ниже:
www.example.com
Starfield Secure Certification Authority
Starfield Technologies Inc.
Все нормально, все работает.
Сегодня я прочитал сообщение в блоге CloudFlare [1], в котором говорилось:
The lowest hanging fruit in terms of reducing
the size of these certificates was to remove the
root certificates from the certificate bundle.
There's no reason to include these since they should already be
present in browsers and, even if they're not, the browser won't trust them.
Значит ли это, что я могу удалить Starfield Technologies Inc. не влияя на достоверность моего сертификата SSL, и я могу получить лучшую производительность?
[1] http://blog.cloudflare.com/what-we-just-did-to-make-ssl-even-faster
Это зависит от того, какое лицо подписало ваш сертификат.
Если бы он был подписан непосредственно корневым ЦС, тогда действительно не было бы смысла повторно обслуживать такой корневой ЦС вашим собственным веб-сервером.
Однако, если он был выпущен промежуточным ЦС, и вы не объединяете его в свой сертификат, вы рискуете получить предупреждения о том, что определенные пользователи получат предупреждения о взломе сертификата, если они никогда раньше не видели такой промежуточный ЦС. .
https://superuser.com/a/524234/180573
Как узнать, в какой ситуации вы находитесь? Вы можете протестировать http://www.digicert.com/help/?host=