Czy certyfikat główny powinien być zawarty w pakiecie urzędu certyfikacji?

11

Niedawno odwiedziłem test Qualys SSL Server Test, aby potwierdzić, że certyfikat Namecheap został poprawnie zainstalowany. Wszystko wyglądało dobrze, z wyjątkiem jednego problemu z łańcuchem („Zawiera kotwicę”):

Łańcuch certyfikatów

Wydaje się, że powinienem być w stanie rozwiązać ten problem poprzez usunięcie zewnętrznego głównego źródła CA AddTrust, który jest już obecny w (większości?) Magazynach zaufania. Jednak własne instrukcje instalacji Namecheap wyraźnie stwierdzają, że jest to jeden z trzech certyfikatów w pakiecie urzędu certyfikacji:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

Czy bezpiecznie jest zignorować instrukcje Namecheap i usunąć z łańcucha certyfikat zewnętrznego źródła CA AddTrust? Jeśli tak, to dlaczego Namecheap miałby to w pierwszej kolejności?

Chris Frederick
źródło

Odpowiedzi:

14

Nie ma sensu go włączać. Jeśli przeglądarka lub biblioteka klienta ma go jako zaufany certyfikat, to oczywiście nie potrzebuje kolejnej kopii, jeśli go nie ma, to włączenie go nie spowoduje, że będzie mu ufać.

Nie mam pojęcia, dlaczego Namecheap umieściłby to w swoich instrukcjach. Mnóstwo ostrożności? Dołączenie go nie jest błędem ani naruszeniem zgodności specyfikacji. Twoja strona będzie dobrze działać z obecnym. Doda to jednak (bardzo) nieco do czasu przetwarzania uzgadniania i nie służy żadnemu praktycznemu celowi, dlatego Qualys włącza go jako ostrzeżenie.

https://community.qualys.com/thread/11234

Jeff Snider
źródło
1
Może uważają, że jeśli przeglądarka klienta nie ufa swojemu certyfikatowi CA, użytkownik chciałby dodać ten certyfikat CA do listy zaufanych katalogów głównych, ale musiałaby mieć certyfikat CA, aby to zrobić, prawda? .
Joker_vD
2
@Joker_vD Jest to mało prawdopodobne w przeglądarkach. Nieco bardziej prawdopodobne, jeśli certyfikat jest przeznaczony do stosowania w IoT lub urządzeniach wbudowanych, w których „standardowy” zestaw certyfikatów głównych niekoniecznie jest zainstalowany. Mimo to osoby pracujące na tego rodzaju systemach operacyjnych powinny mieć możliwość równie łatwego pobrania certyfikatu głównego z witryny internetowej urzędu certyfikacji. To dziwne.
Martijn Heemels
5

Wygląda na to, że niektórzy mieli ten problem - i tak, można bezpiecznie zignorować instrukcje konfiguracji NameCheap dla linku:

Tak, to jest poprawne. Nie chodzi o to, że kotwica jest niedozwolona, ​​ale że dodatkowy certyfikat (który nie służy żadnemu celowi) zwiększa opóźnienie uzgadniania. Niektórym zależy na tym i dlatego podaje informacje w teście.

conorb
źródło