Должен ли корневой сертификат быть включен в комплект CA?

Недавно я посетил Qualys SSL Server Test, чтобы убедиться, что сертификат Namecheap был установлен правильно. Все выглядело хорошо, за исключением одной проблемы с цепочкой («Содержит якорь»):

Кажется, что я должен быть в состоянии решить эту проблему, удалив AddTrust External CA Root, который уже присутствует в (большинстве?) Хранилищах доверия. Однако в собственных инструкциях по установке Namecheap прямо указано, что это один из трех сертификатов в их комплекте CA:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

Безопасно ли игнорировать инструкции Namecheap и удалить из цепочки сертификат внешнего корневого CA AddTrust? Если так, почему Namecheap включил бы это во-первых?

Нет смысла включать это. Если клиентский браузер или библиотека имеет его в качестве доверенного сертификата, то, очевидно, ему не нужна другая копия, если он не имеет ее, то в том числе он не заставит ее доверять.

Я понятия не имею, почему Namecheap будет включать его в свои инструкции. Обилие осторожности? Это не ошибка или нарушение спецификации соответствия, чтобы включить его. Ваш сайт будет нормально работать с ним. Однако это немного (очень) немного увеличит время обработки рукопожатия и не будет служить никаким другим практическим целям, поэтому Qualys включает его в качестве предупреждения.

https://community.qualys.com/thread/11234

Похоже, что некоторые другие имели эту проблему - и да, было бы безопасно игнорировать инструкции по настройке NameCheap по ссылке:

Да, это правильно. Это не проблема в том смысле, что привязка не разрешена, а в том, что дополнительный сертификат (который не имеет смысла) увеличивает задержку рукопожатия. Некоторые люди заботятся об этом, поэтому предоставляют информацию в тесте.