根证书是否应该包含在 CA 包中?

Chr*_*ick 11 ssl-certificate certificate-authority

我最近访问了Qualys SSL 服务器测试以确认 Namecheap 证书已正确安装。除了一个链问题(“包含锚点”)外,一切看起来都很好:

证书链

似乎我应该能够通过删除 AddTrust External CA Root 来解决这个问题,它已经存在于(大多数?)信任存储中。但是,Namecheap 自己的安装说明明确指出这是其 CA 包中的三个证书之一:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

忽略 Namecheap 的说明并从链中删除 AddTrust 外部 CA 根证书是否安全?如果是这样,为什么 Namecheap 首先将它包含在内?

Jef*_*der 14

包含它是没有用的。如果客户端浏览器或库将它作为受信任的证书,那么它显然不需要另一个副本,如果它没有它,那么包含它不会让它信任它。

我不知道为什么 Namecheap 会将它包含在他们的说明中。大量的谨慎?包含它不是错误或违反规范。您的网站在它存在的情况下可以正常工作。然而,它会(非常)略微增加握手处理时间,并且没有其他实际用途,这就是 Qualys 将其作为警告的原因。

https://community.qualys.com/thread/11234

  • @Joker_vD 这在浏览器中不太可能。如果证书旨在用于 IoT 或嵌入式设备,则更有可能,其中不一定安装“标准”根证书集。尽管如此,在这些操作系统上工作的人应该能够同样轻松地从 CA 的网站下载根证书。有点奇怪。 (2认同)

con*_*orb 5

看起来其他一些人也有这个问题- 是的,忽略每个链接的 NameCheap 配置说明可能是安全的:

对,那是正确的。从不允许锚点的意义上说,这不是问题,而是额外的证书(无用)增加了握手延迟。有些人关心这一点,这就是为什么要在测试中提供信息。