Недавно я посетил Qualys SSL Server Test , чтобы убедиться, что сертификат Namecheap установлен правильно. Все выглядело нормально, за исключением одной проблемы с цепочкой («Содержит привязку»):
Кажется, я смогу решить эту проблему, удалив внешний корень CA AddTrust, который уже присутствует в (в большинстве?) Хранилищ доверия. Однако, Собственные инструкции по установке Namecheap явно указывают, что это один из трех сертификатов в их пакете CA:
ComodoRSADomainValidationSecureServerCA.crt
COMODORSAAddTrustCA.crt
AddTrustExternalCAR164.c игнорировать инструкции Namecheap и удалить корневой сертификат внешнего CA AddTrust из цепочки? Если да, то зачем Namecheap вообще включать его?
Нет смысла включать это. Если клиентский браузер или библиотека имеют его как доверенный сертификат, то ему, очевидно, не нужна другая копия, если его нет, то включение этого сертификата не заставит его доверять ему.
Я понятия не имею, почему Namecheap включит это в свои инструкции. Изобилие осторожности? Его включение не является ошибкой или нарушением требований спецификации. Ваш сайт будет нормально работать с этим. Однако это (очень) немного увеличит время обработки рукопожатия и не служит никакой другой практической цели, поэтому Qualys включает его в качестве предупреждения.
Похоже, у некоторых других была эта проблема - и да, можно безопасно игнорировать инструкции конфигурации NameCheap по ссылке:
Да, это правильно. Это не проблема в том смысле, что привязка не разрешена, а в том, что дополнительный сертификат (который бесполезен) увеличивает задержку установления связи. Некоторых это волнует, поэтому они предоставляют информацию в тесте.