根证书是否应该包含在 CA 包中?
Chr*_*ick 11 ssl-certificate certificate-authority
我最近访问了Qualys SSL 服务器测试以确认 Namecheap 证书已正确安装。除了一个链问题(“包含锚点”)外,一切看起来都很好:
似乎我应该能够通过删除 AddTrust External CA Root 来解决这个问题,它已经存在于(大多数?)信任存储中。但是,Namecheap 自己的安装说明明确指出这是其 CA 包中的三个证书之一:
ComodoRSADomainValidationSecureServerCA.crtCOMODORSAAddTrustCA.crtAddTrustExternalCARoot.crt
忽略 Namecheap 的说明并从链中删除 AddTrust 外部 CA 根证书是否安全?如果是这样,为什么 Namecheap 首先将它包含在内?
Jef*_*der 14
包含它是没有用的。如果客户端浏览器或库将它作为受信任的证书,那么它显然不需要另一个副本,如果它没有它,那么包含它不会让它信任它。
我不知道为什么 Namecheap 会将它包含在他们的说明中。大量的谨慎?包含它不是错误或违反规范。您的网站在它存在的情况下可以正常工作。然而,它会(非常)略微增加握手处理时间,并且没有其他实际用途,这就是 Qualys 将其作为警告的原因。
https://community.qualys.com/thread/11234
- @Joker_vD 这在浏览器中不太可能。如果证书旨在用于 IoT 或嵌入式设备,则更有可能,其中不一定安装“标准”根证书集。尽管如此,在这些操作系统上工作的人应该能够同样轻松地从 CA 的网站下载根证书。有点奇怪。 (2认同)
看起来其他一些人也有这个问题- 是的,忽略每个链接的 NameCheap 配置说明可能是安全的:
对,那是正确的。从不允许锚点的意义上说,这不是问题,而是额外的证书(无用)增加了握手延迟。有些人关心这一点,这就是为什么要在测试中提供信息。
| 归档时间: |
|
| 查看次数: |
2993 次 |
| 最近记录: |