Czy certyfikat główny powinien być zawarty w pakiecie urzędu certyfikacji?

Niedawno odwiedziłem test Qualys SSL Server Test, aby potwierdzić, że certyfikat Namecheap został poprawnie zainstalowany. Wszystko wyglądało dobrze, z wyjątkiem jednego problemu z łańcuchem („Zawiera kotwicę”):

Wydaje się, że powinienem być w stanie rozwiązać ten problem poprzez usunięcie zewnętrznego głównego źródła CA AddTrust, który jest już obecny w (większości?) Magazynach zaufania. Jednak własne instrukcje instalacji Namecheap wyraźnie stwierdzają, że jest to jeden z trzech certyfikatów w pakiecie urzędu certyfikacji:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

Czy bezpiecznie jest zignorować instrukcje Namecheap i usunąć z łańcucha certyfikat zewnętrznego źródła CA AddTrust? Jeśli tak, to dlaczego Namecheap miałby to w pierwszej kolejności?

Nie ma sensu go włączać. Jeśli przeglądarka lub biblioteka klienta ma go jako zaufany certyfikat, to oczywiście nie potrzebuje kolejnej kopii, jeśli go nie ma, to włączenie go nie spowoduje, że będzie mu ufać.

Nie mam pojęcia, dlaczego Namecheap umieściłby to w swoich instrukcjach. Mnóstwo ostrożności? Dołączenie go nie jest błędem ani naruszeniem zgodności specyfikacji. Twoja strona będzie dobrze działać z obecnym. Doda to jednak (bardzo) nieco do czasu przetwarzania uzgadniania i nie służy żadnemu praktycznemu celowi, dlatego Qualys włącza go jako ostrzeżenie.

https://community.qualys.com/thread/11234

Wygląda na to, że niektórzy mieli ten problem - i tak, można bezpiecznie zignorować instrukcje konfiguracji NameCheap dla linku:

Tak, to jest poprawne. Nie chodzi o to, że kotwica jest niedozwolona, ​​ale że dodatkowy certyfikat (który nie służy żadnemu celowi) zwiększa opóźnienie uzgadniania. Niektórym zależy na tym i dlatego podaje informacje w teście.