根证书应包含在CA捆绑软件中吗?

11

我最近访问了Qualys SSL Server测试,以确认是否正确安装了Namecheap证书。除了一个链问题(“包含锚点”)之外,其他所有内容看起来都不错:

证书链

似乎我应该能够通过删除(大多数?)信任存储中已经存在的AddTrust外部CA Root来解决此问题。但是,Namecheap自己的安装说明明确指出,这是其CA捆绑包中的三个证书之一:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

是否可以忽略Namecheap的说明并从链中删除AddTrust外部CA根证书?如果是这样,为什么Namecheap首先将其包括在内?

ssl-certificate  certificate-authority 
克里斯·弗雷德里克
source

Answers:

14

没有必要包含它。如果客户端浏览器或库将其作为受信任的证书,则它显然不需要其他副本,如果没有,则包括它在内也不会使其信任。

我不知道为什么Namecheap会将其包含在他们的说明中。小心谨慎吗?包含它不是错误或违反规范要求。您的网站可以正常使用。但是,它会(非常)增加握手处理时间,并且没有其他实际用途,这就是Qualys将其包含为警告的原因。

https://community.qualys.com/thread/11234

杰夫·斯尼德
source
1
也许他们认为,如果客户端浏览器不信任其CA证书,则用户希望将该CA证书添加到受信任的根列表中,但是她需要具有CA证书才能这样做,不是吗? 。
Joker_vD
2
@Joker_vD在浏览器中不太可能。如果该证书旨在用于物联网或嵌入式设备中,则不一定要安装“标准”根证书集。尽管如此,从事此类操作系统的人们仍应能够轻松地从CA网站下载根证书。有点奇怪。
马丁·海姆斯
5

似乎其他一些人遇到了这个问题 -是的,可以安全地忽略每个链接的NameCheap配置指令:

对,那是正确的。从不允许使用锚点的角度来看,这不是问题,而是多余的证书(无用)会增加握手延迟。有人对此很在意,这就是为什么要在测试中提供信息。

康诺布
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.