那些遇到过的问题

根证书是否应该包含在 CA 包中?

Chr*_*ick 11 ssl-certificate certificate-authority

我最近访问了Qualys SSL 服务器测试以确认 Namecheap 证书已正确安装。除了一个链问题(“包含锚点”)外,一切看起来都很好:

证书链

似乎我应该能够通过删除 AddTrust External CA Root 来解决这个问题,它已经存在于(大多数?)信任存储中。但是,Namecheap 自己的安装说明明确指出这是其 CA 包中的三个证书之一:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

忽略 Namecheap 的说明并从链中删除 AddTrust 外部 CA 根证书是否安全?如果是这样,为什么 Namecheap 首先将它包含在内?

Jef*_*der 14

包含它是没有用的。如果客户端浏览器或库将它作为受信任的证书,那么它显然不需要另一个副本,如果它没有它,那么包含它不会让它信任它。

我不知道为什么 Namecheap 会将它包含在他们的说明中。大量的谨慎?包含它不是错误或违反规范。您的网站在它存在的情况下可以正常工作。然而,它会(非常)略微增加握手处理时间,并且没有其他实际用途,这就是 Qualys 将其作为警告的原因。

https://community.qualys.com/thread/11234

  • @Joker_vD 这在浏览器中不太可能。如果证书旨在用于 IoT 或嵌入式设备,则更有可能,其中不一定安装“标准”根证书集。尽管如此,在这些操作系统上工作的人应该能够同样轻松地从 CA 的网站下载根证书。有点奇怪。 (2认同)

con*_*orb 5

看起来其他一些人也有这个问题- 是的,忽略每个链接的 NameCheap 配置说明可能是安全的:

对,那是正确的。从不允许锚点的意义上说,这不是问题,而是额外的证书(无用)增加了握手延迟。有些人关心这一点,这就是为什么要在测试中提供信息。

归档时间:

查看次数:

2993 次

最近记录:

7 年,10 月 前
相关归档
Debian 9 上的客户端错误地报告 LetsEncrypt 颁发的域证书已过期 23
免费(或几乎免费)受信任的 SSL 证书? 14
如何设置自己的全功能证书颁发机构? 14
如何使用 .pem 格式的加密密钥配置 nginx + ssl 13
是否可以从现有的 x509 证书生成 openssl 配置文件? 7
OpenVPN 在通过 udp 的自签名证书上失败,通过 tcp 工作 6
wmic:设置远程桌面自签名证书时出错 5
NGINX 不提示输入客户端 ssl 证书 5
如何在 nginx 上为子域配置 ssl 4
更改为现有网站的新证书颁发机构 1
难疑归档
如何查看 Nginx 编译时使用了哪些标志? 245
我如何要求 apt-get 跳过任何交互式安装后配置步骤? 168
tar - 在提取时删除前导目录组件 142
如何在 Debian/Ubuntu 上确定 JAVA_HOME? 105
如何以 /usr/sbin/nologin 作为 Shell 的用户身份运行命令? 104
通配符 SSL 证书是否应该同时保护根域和子域? 97
在 systemd 中,After= 和 Requires= 有什么区别? 90
如何在 ssh 上使用 sudo 运行任意复杂的命令? 83
如何检查远程系统的端口是否已打开(ubuntu) 64
来自 Chrome 的对无意义 URL 的异常 HEAD 请求 62