As lojas da CA em computadores e navegadores incluem os certificados da CA raiz.
Os sites nunca devem receber certificados das CAs raiz, mas sim de um intermediário.
É responsabilidade do site retornar tanto o seu próprio certificado quanto o certificado intermediário, para que os navegadores possam encadear o intermediário a um dos certificados de raiz em que ele confia.
No exemplo do site que você forneceu, eles não estão incluindo o certificado intermediário para que os usuários não possam confiar no site. Isso pode ser visto com uma verificação do ssllabs aqui: link . Como você pode ver, ele está enviando apenas um certificado em vez de dois e recebe um aviso incompleto por causa disso. A expansão da seção Caminhos do certificado mostra a cadeia completa e permite que você faça o download desse intermediário, caso deseje instalá-lo.
Deve-se observar que, com frequência, os navegadores lidam com essa situação - porque terão intermediários em cache comuns de visitar outros sites ou porque tentarão localizar o certificado intermediário ausente. Frequentemente, essas configurações incorretas não são detectadas pela maioria dos usuários e pelos operadores do site. Adivinhar que o ataque de SSL aqui não é tão amigável para lidar com esses erros.
Isto está em contraste com certs.godaddycom ( link ) que é enviando a cadeia completa. Na verdade, ele tem o problema inverso e está enviando muitos certificados, pois não há necessidade de enviar o certificado raiz (mas talvez isso esteja lá por razões históricas, como você pode ver, há dois caminhos de cadeia cert - um dos quais requer o certificado raiz ser assinado por outro certificado, que provavelmente é usado por navegadores mais antigos que não possuem o novo certificado raiz em seus armazenamentos de confiança).
De qualquer forma, suas opções são:
- Diga aos seus usuários que o site não está configurado corretamente e volte ao trabalho e pare de desperdiçar tempo da empresa em sites suspeitos.
- Adicione o certificado intermediário à sua loja raiz do Squid CA. É claro que isso não é uma CA raiz e não deve estar na loja e se alguma vez for revogada por qualquer motivo, você ainda confiará nela (que é uma das razões pelas quais os certificados não são emitidos a partir de certificados de raiz, pois é muito difícil remover eles de lojas de trusts). Então você está introduzindo um risco de segurança incluindo isso.
- Entre em contato com o site e explique o problema para eles e peça que eles o consertem. E, em seguida, esteja preparado para solucionar basicamente todos os outros sites indesejados desejados por seus usuários!
Sem dúvida eu escolheria a opção 1 se fosse eu: -)