Следует ли включать корневой сертификат в комплект CA?
Я недавно посетил Тест сервера Qualys SSL чтобы подтвердить, что сертификат Namecheap был установлен правильно. Все выглядело нормально, за исключением одной проблемы с цепочкой («Содержит якорь»):
Кажется, я смогу решить эту проблему, удалив внешний корень CA AddTrust, который уже присутствует в (в большинстве?) Хранилищ доверия. Однако собственное имя Namecheap Инструкция по установке прямо указать, что это один из трех сертификатов в их пакете CA:
ComodoRSADomainValidationSecureServerCA.crtCOMODORSAAddTrustCA.crtAddTrustExternalCARoot.crt
Можно ли игнорировать инструкции Namecheap и удалить корневой сертификат внешнего CA AddTrust из цепочки? Если да, то почему Namecheap вообще включил его?
Нет смысла включать его. Если клиентский браузер или библиотека имеют его как доверенный сертификат, то ему, очевидно, не нужна другая копия, если у нее ее нет, то включение этого сертификата не заставит его доверять ему.
Я понятия не имею, почему Namecheap включил это в свои инструкции. Изобилие осторожности? Его включение не является ошибкой или нарушением требований спецификации. Ваш сайт будет нормально работать с этим. Однако он (очень) немного увеличит время обработки рукопожатия и не служит никакой другой практической цели, поэтому Qualys включает его в качестве предупреждения.
Похоже, эта проблема была у некоторых других- и да, можно безопасно игнорировать инструкции по настройке NameCheap по ссылке:
Да, это правильно. Это не проблема в том смысле, что привязка не разрешена, а в том, что дополнительный сертификат (который бесполезен) увеличивает задержку рукопожатия. Некоторых это волнует, поэтому они предоставляют информацию в тесте.