Следует ли включать корневой сертификат в комплект CA?

Question

Следует ли включать корневой сертификат в комплект CA?

Недавно я посетил Qualys SSL Server Test , чтобы убедиться, что сертификат Namecheap установлен правильно. Все выглядело нормально, за исключением одной проблемы с цепочкой («Содержит привязку»):

Кажется, я смогу решить эту проблему, удалив внешний корень CA AddTrust, который уже присутствует в (в большинстве?) Хранилищ доверия. Однако, Собственные инструкции по установке Namecheap явно указывают, что это один из трех сертификатов в их пакете CA:

ComodoRSADomainValidationSecureServerCA.crt
COMODORSAAddTrustCA.crt
AddTrustExternalCAR164.c игнорировать инструкции Namecheap и удалить корневой сертификат внешнего CA AddTrust из цепочки? Если да, то зачем Namecheap вообще включать его?


         
            11

         
         
            ssl-certificate certificate-authority         
         
         
            задан Chris Frederick
            29 October 2017 в 01:14 
         
         
         Ссылка


    2 ответа


  
    
   
   
      

      
         
                     
      

         
         
            
               
                  
                      Нет смысла включать это.  Если клиентский браузер или библиотека имеют его как доверенный сертификат, то ему, очевидно, не нужна другая копия, если его нет, то включение этого сертификата не заставит его доверять ему. 

 Я понятия не имею, почему  Namecheap включит это в свои инструкции.  Изобилие осторожности?  Его включение не является ошибкой или нарушением требований спецификации.  Ваш сайт будет нормально работать с этим.  Однако это (очень) немного увеличит время обработки рукопожатия и не служит никакой другой практической цели, поэтому Qualys включает его в качестве предупреждения. 

 https://community.qualys.com/thread/11234 
                  
                  14

                  
                  
                     ответ дан 
                     2 December 2019 в 21:47 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
         
            
               
                  

                    

                  
              
           

   
         
            
               
                  
                      Похоже, у некоторых других была эта проблема  - и да, можно безопасно игнорировать инструкции конфигурации NameCheap по ссылке: 


  Да, это правильно.  Это не проблема в том смысле, что привязка не разрешена, а в том, что дополнительный сертификат (который бесполезен) увеличивает задержку установления связи.  Некоторых это волнует, поэтому они предоставляют информацию в тесте. 
                  
                  5

                  
                  
                     ответ дан 
                     2 December 2019 в 21:47 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         ssl-certificate certificate-authority       

        Похожие вопросы
        
          
                          200 
 Отображение удаленного сертификата SSL детализирует инструменты CLI использования - 24 January 2015 00:13 
                            187 
 как загрузить сертификат SSL с веб-сайта? - 11 February 2014 07:46 
                            142 
  Есть ли причина для использования сертификата SSL, кроме бесплатного SSL от Let's Encrypt?  - 18 August 2018 12:29 
                            115 
 Как я смотрю детали цифрового сертификата .cer файл? - 19 January 2017 20:50 
                            115 
 Местоположение сертификата SSL на UNIX/Linux - 4 September 2009 18:57 
                            104 
 Как просмотреть все сертификаты SSL в пакете? - 25 April 2014 08:59 
                            97 
 Корневое истечение сертификата центра сертификации и обновление - 22 February 2015 09:15 
                            83 
 Подстановочный сертификат SSL должен защитить обоих корневой домен, а также субдомены? - 12 September 2011 19:12 
                            76 
 Как я преобразовываю .cer сертификат .pem? - 17 October 2017 01:45 
                            68 
 Why are CA root certificates all SHA-1 signed (since SHA-1 is deprecated)? - 14 March 2017 17:06 
                            68 
 Why are CA root certificates all SHA-1 signed (since SHA-1 is deprecated)? - 14 March 2017 17:06 
                            63 
 Как решить, где купить подстановочный сертификат SSL? - 28 May 2014 23:32 
                            63 
 Как решить, где купить подстановочный сертификат SSL? - 28 May 2014 23:32 
                            62 
 Лучшее расположение для сертификата SSL и закрытых ключей на Ubuntu - 13 April 2017 15:14 
                            57 
 Почему я должен купить сертификат SSL, когда я могу генерировать тот локально? - 29 April 2013 14:48

score 14 · Answer 1 · 2 December 2019 в 21:47

Нет смысла включать это. Если клиентский браузер или библиотека имеют его как доверенный сертификат, то ему, очевидно, не нужна другая копия, если его нет, то включение этого сертификата не заставит его доверять ему.

Я понятия не имею, почему Namecheap включит это в свои инструкции. Изобилие осторожности? Его включение не является ошибкой или нарушением требований спецификации. Ваш сайт будет нормально работать с этим. Однако это (очень) немного увеличит время обработки рукопожатия и не служит никакой другой практической цели, поэтому Qualys включает его в качестве предупреждения.

https://community.qualys.com/thread/11234

score 5 · Answer 2 · 2 December 2019 в 21:47

Похоже, у некоторых других была эта проблема - и да, можно безопасно игнорировать инструкции конфигурации NameCheap по ссылке:

Да, это правильно. Это не проблема в том смысле, что привязка не разрешена, а в том, что дополнительный сертификат (который бесполезен) увеличивает задержку установления связи. Некоторых это волнует, поэтому они предоставляют информацию в тесте.