Devo incluir o certificado CA raiz ao fazer um certificado encadeado

Question

Devo incluir o certificado CA raiz ao fazer um certificado encadeado

#1 resposta do (2 votos)

6

Estou usando o certificado Godaddy, normalmente eu concatenho o certificado e o faço em um certificado encadeado

cat www.example.com.crt sf_bundle.crt > chained.cert

E no meu nginx.conf,

ssl_certificate chained.cert

No navegador, vejo a cadeia abaixo:

www.example.com
  Starfield Secure Certification Authority
    Starfield Technologies Inc.

Tudo bem, tudo está funcionando.

Hoje, eu li uma postagem no blog da CloudFlare [1], dizia:

The lowest hanging fruit in terms of reducing 
the size of these certificates was to remove the 
root certificates from the certificate bundle. 
There's no reason to include these since they should already be 
present in browsers and, even if they're not, the browser won't trust them.

Então, isso significa que posso remover o Starfield Technologies Inc. sem afetar a validade do meu certificado SSL e posso ter um desempenho melhor?

[1] link

security ssl openssl nginx linux

por Howard 27.01.2013 / 17:24

1 resposta

Tags security ssl openssl nginx linux

numa e taskset Como configurar o mod_proxy_html do apache para funcionar como um proxy ajax?

score 2 · Accepted Answer

Depende de que tipo de entidade assinou seu certificado.

Se ele foi assinado diretamente por uma autoridade de certificação raiz, na verdade não haveria motivo para servir novamente essa autoridade de certificação raiz com seu próprio servidor da Web.

No entanto, se ele foi emitido por uma CA intermediária e você não o empacota no seu certificado, corre o risco de ter alguns usuários recebendo avisos sobre a quebra do certificado, se eles nunca o viram intermediário CA antes.

link

Como saber em qual situação você está? Você pode testar com o link