在创建链式证书时是否应包含根 CA 证书

在创建链式证书时是否应包含根 CA 证书

我正在使用 Godaddy 证书,通常我会将证书连接起来并制成链式证书

cat www.example.com.crt sf_bundle.crt > chained.cert

在我的 nginx.conf 中,

ssl_certificate chained.cert

在浏览器中我看到如下的链:

www.example.com
  Starfield Secure Certification Authority
    Starfield Technologies Inc.

很好,一切正常。

今天,我读了一篇来自 CloudFlare [1] 的博客文章,其中写道:

The lowest hanging fruit in terms of reducing 
the size of these certificates was to remove the 
root certificates from the certificate bundle. 
There's no reason to include these since they should already be 
present in browsers and, even if they're not, the browser won't trust them.

那么,这是否意味着我可以删除而不Starfield Technologies Inc.影响我的 SSL 证书的有效性,并且可以获得更好的性能?

[1]http://blog.cloudflare.com/what-we-just-did-to-make-ssl-even-faster

答案1

这取决于哪种实体签署了您的证书。

如果它是由根 CA 直接签名的,那么使用您自己的 Web 服务器重新提供此类根 CA 确实没有什么意义。

但是,如果它是由中间 CA 颁发的,并且您没有将其捆绑在证书中,那么如果某些用户以前从未见过这样的中间 CA,您就有可能收到有关证书被破坏的警告。

https://superuser.com/a/524234/180573

如何知道你处于哪种情况?你可以用http://www.digicert.com/help/?host=

相关内容