我最近访问了Qualys SSL 服务器测试确认 Namecheap 证书已正确安装。除了一个链问题(“包含锚点”)之外,一切看起来都很好:
似乎我应该能够通过删除 AddTrust External CA Root 来解决这个问题,因为大多数信任存储中都已经存在该 CA Root。但是,Namecheap 自己的安装说明明确指出这是其 CA 包中的三个证书之一:
ComodoRSADomainValidationSecureServerCA.crtCOMODORSAAddTrustCA.crtAddTrustExternalCARoot.crt
忽略 Namecheap 的指示并从链中删除 AddTrust 外部 CA 根证书是否安全?如果可以,Namecheap 为什么要将其包含在内?
答案1
包含它是没有意义的。如果客户端浏览器或库将其作为受信任的证书,那么它显然不需要另一份副本,如果没有,那么包含它也不会让它信任它。
我不知道 Namecheap 为什么要将其包含在他们的说明中。谨慎过度?包含它不是一个错误或违反规范。您的网站在它存在的情况下可以正常工作。但是,它会(非常)稍微增加握手处理时间,并且没有其他实际用途,这就是 Qualys 将其作为警告的原因。
答案2
看起来其他人也遇到过这个问题- 是的,忽略链接中的 NameCheap 配置说明可能是安全的:
是的,没错。这不是因为不允许使用锚点而出现的问题,而是因为额外的证书(毫无用处)增加了握手延迟。有些人很在意这一点,这就是为什么在测试中提供这些信息的原因。