È necessario includere un certificato radice in un pacchetto CA?

11

Di recente ho visitato il test del server SSL Qualys per confermare che un certificato Namecheap è stato installato correttamente. Tutto sembrava a posto tranne un problema di catena ("Contiene ancora"):

Catena di certificati

Sembra che dovrei essere in grado di risolvere questo problema rimuovendo la radice CA esterna AddTrust, che è già presente negli archivi fiduciari (la maggior parte?). Tuttavia, le istruzioni di installazione di Namecheap affermano esplicitamente che questo è uno dei tre certificati nel loro pacchetto CA:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

È sicuro ignorare le istruzioni di Namecheap e rimuovere il certificato di radice CA esterna AddTrust dalla catena? In tal caso, perché Namecheap dovrebbe includerlo in primo luogo?

ssl-certificate  certificate-authority 
Chris Frederick
fonte

Risposte:

14

Non c'è bisogno di includerlo. Se il browser o la libreria client lo hanno come certificato attendibile, ovviamente non ha bisogno di un'altra copia, se non lo possiede, incluso non lo farà fidare.

Non ho idea del perché Namecheap l'avrebbe incluso nelle loro istruzioni. Abbondanza di cautela? Includerlo non è un errore o una violazione della conformità alle specifiche. Il tuo sito funzionerà bene con esso presente. Aggiungerà tuttavia (molto) leggermente il tempo di elaborazione della stretta di mano e non ha altri scopi pratici, motivo per cui Qualys lo include come avvertimento.

https://community.qualys.com/thread/11234

Jeff Snider
fonte
1
Forse credono che se il browser client non si fida del loro certificato CA, l'utente vorrebbe aggiungere quel certificato CA all'elenco delle radici attendibili, ma avrebbe bisogno di avere il certificato CA per farlo, no .
Joker_vD,
2
@Joker_vD È improbabile nei browser. Un po 'più probabile se il certificato è destinato all'uso in IoT o dispositivi integrati, dove non è necessariamente installato un set "standard" di certificati radice. Tuttavia, le persone che lavorano su questo tipo di sistemi operativi dovrebbero essere in grado di scaricare altrettanto facilmente il certificato root dal sito Web della CA. È strano.
Martijn Heemels,
5

Sembra che alcuni altri abbiano avuto questo problema - e sì, potrebbe essere sicuro ignorare le istruzioni di configurazione di NameCheap per il link:

Sì, è corretto. Non è un problema nel senso che l'ancoraggio non è consentito, ma che il certificato aggiuntivo (che non serve a nulla) sta aumentando la latenza della stretta di mano. Alcune persone si preoccupano di ciò, motivo per cui fornire le informazioni nel test.

conorb
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.