Должен ли корневой сертификат быть включен в комплект CA?


11

Недавно я посетил Qualys SSL Server Test, чтобы убедиться, что сертификат Namecheap был установлен правильно. Все выглядело хорошо, за исключением одной проблемы с цепочкой («Содержит якорь»):

Цепочка сертификатов

Кажется, что я должен быть в состоянии решить эту проблему, удалив AddTrust External CA Root, который уже присутствует в (большинстве?) Хранилищах доверия. Однако в собственных инструкциях по установке Namecheap прямо указано, что это один из трех сертификатов в их комплекте CA:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

Безопасно ли игнорировать инструкции Namecheap и удалить из цепочки сертификат внешнего корневого CA AddTrust? Если так, почему Namecheap включил бы это во-первых?

Ответы:


14

Нет смысла включать это. Если клиентский браузер или библиотека имеет его в качестве доверенного сертификата, то, очевидно, ему не нужна другая копия, если он не имеет ее, то в том числе он не заставит ее доверять.

Я понятия не имею, почему Namecheap будет включать его в свои инструкции. Обилие осторожности? Это не ошибка или нарушение спецификации соответствия, чтобы включить его. Ваш сайт будет нормально работать с ним. Однако это немного (очень) немного увеличит время обработки рукопожатия и не будет служить никаким другим практическим целям, поэтому Qualys включает его в качестве предупреждения.

https://community.qualys.com/thread/11234


1
Возможно, они считают, что если браузер клиента не доверяет своему сертификату CA, пользователь хотел бы добавить этот сертификат CA в список доверенных корней, но для этого ему понадобится сертификат CA, не так ли? ,
Joker_vD

2
@Joker_vD Это вряд ли в браузерах. Немного вероятнее, если сертификат предназначен для использования в IoT или встроенных устройствах, где не обязательно установлен «стандартный» набор корневых сертификатов. Тем не менее, люди, работающие с такими операционными системами, также могут легко загрузить корневой сертификат с веб-сайта CA. Это странно.
Мартейн

5

Похоже, что некоторые другие имели эту проблему - и да, было бы безопасно игнорировать инструкции по настройке NameCheap по ссылке:

Да, это правильно. Это не проблема в том смысле, что привязка не разрешена, а в том, что дополнительный сертификат (который не имеет смысла) увеличивает задержку рукопожатия. Некоторые люди заботятся об этом, поэтому предоставляют информацию в тесте.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.