Если я должен предоставить корневой сертификат когда сертификат установки SSL на nginx
В Qualys тест SSL всегда предупреждает меня, что корневой сертификат является дополнительной загрузкой и может быть безопасно удален.
Однако с веб-сайта Comodo, их руководство по установке сертификата на nginx
NGINX Needed for this task: * PEM encoded certificates (Root, Intermediate(s) and
Domain/Device) COMBINE (CONCATENATE) MULTIPLE CERTIFICATES INTO ONE FILE
Вы знаете, они - CA и быть подлинным answser. Так, какому я должен доверять?
Обновления: Я также собираюсь, больше советует от другого CA также
Предложите добавить корневой сертификат
- https://support.globalsign.com/customer/portal/articles/1290470-install-certificate---nginx
- https://support.comodo.com/index.php?/Knowledgebase/List/Index/37/certificate-installation
- https://www.namecheap.com/support/knowledgebase/article.aspx/9419/0/nginx
Не предложите потребность корневой сертификат
- https://www.digicert.com/ssl-certificate-installation-nginx.htm
- https://www.geocerts.com/install/nginx
- https://www.ssllabs.com/ssltest/
Так себе путание?
И тест Qualys SSL, и Comodo верны. Comodo верен с точки зрения кода на стороне сервера. Nginx должен доверять сертификатам, которые он использует.
С другой стороны, проверка Qualys SSL верна с точки зрения сетевого протокола. Во время согласования SSL сервер должен отправить свой собственный сертификат SSL и все промежуточные сертификаты ЦС, кроме корневого сертификата. Ссылка из RFC 5246 §7.4.2 :
certificate_list Это последовательность (цепочка) сертификатов. Отправителя сертификат ДОЛЖЕН быть первым в списке. Каждый следующий сертификат ДОЛЖЕН напрямую удостоверять предыдущий. Потому как проверка сертификата требует распространения корневых ключей независимо, самозаверяющий сертификат, указывающий корень центр сертификации МОЖЕТ быть исключен из цепочки под предположение, что удаленный конец уже должен обладать им, чтобы в любом случае подтвердите его.
Точка проверки цепочки сертификатов состоит в том, что у вас есть локально доверенные (корневые) сертификаты, и поэтому вы перекладываете доверие на сертификаты, отправленные партнером. Таким образом, сервер должен отправлять только конечный сертификат и промежуточные сертификаты, необходимые для построения цепочки доверия от локального корневого сертификата к конечному сертификату. Это означает, что вы не должны отправлять корневой сертификат, но если вы этого не сделаете, он обычно игнорируется.
И вы должны убедиться, что добавляете сертификаты в правильном порядке, то есть сначала листовой сертификат, а затем цепные сертификаты в правильном порядке подписания. Некоторые серверы или клиенты могут работать в неправильном порядке, но вам не следует на это рассчитывать.