Um certificado raiz deve ser incluído em um pacote da CA?

Navegue suas respostas
11

Visitei recentemente o Qualys SSL Server Test para confirmar que um certificado Namecheap foi instalado corretamente. Tudo parecia bem, exceto por um problema de corrente ("Contém âncora"):

ParecequeeudeveriasercapazderesolveresseproblemaremovendoaraizdeCAexternaAddTrust,quejáestápresenteemarmazenamentosdeconfiança(amaioria?).Noentanto,as instruções de instalação do Namecheap explicitamente declaram que esse é um dos três certificados em seu pacote CA:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

É seguro ignorar as instruções do Namecheap e remover o certificado AddTrust External CA Root da cadeia? Se sim, por que Namecheap o incluiria em primeiro lugar?

    
por Chris Frederick 27.10.2017 / 04:34

2 respostas

14

Não adianta incluí-lo. Se o navegador ou biblioteca do cliente o tiver como um certificado confiável, então obviamente ele não precisa de outra cópia, se ela não tiver, então a inclusão não fará com que ela confie nela.

Eu não tenho idéia porque o Namecheap iria incluí-lo em suas instruções. Abundância de cautela? Não é um erro ou violação de conformidade de especificação para incluí-lo. Seu site funcionará bem com o presente. No entanto, ele adicionará (muito) um pouco ao tempo de processamento do handshake e não servirá para nenhum outro propósito prático, e é por isso que o Qualys o inclui como um aviso.

link

    
por 27.10.2017 / 05:59
5

Parece que alguns outros tiveram esse problema - e sim, pode ser seguro ignorar as instruções de configuração do NameCheap por o link:

Yes, that's correct. It's not an issue in the sense that the anchor is not allowed, but that the extra certificate (which serves no purpose) is increasing the handshake latency. Some people care about that, which is why provide the information in the test.

    
por 27.10.2017 / 05:57

Tags

Como copiar privilégios de usuário com o MySQL? Os recursos de registro de log do SSH são equivalentes ao su logging para autenticação de chave privada / pública?