ルート証明書をCAバンドルに含める必要がありますか?

11

最近、Qualys SSL Server Testにアクセスして、Namecheap証明書が適切にインストールされたことを確認しました。1つのチェーンの問題(「アンカーを含む」)を除いて、すべてが正常に見えました。

証明書チェーン

(ほとんどの)信頼ストアに既に存在するAddTrust外部CAルートを削除することにより、この問題を解決できるはずです。ただし、Namecheap自身のインストール手順では、これがCAバンドルの3つの証明書の1つであると明示的に記載されています。

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

Namecheapの指示を無視して、AddTrust外部CAルート証明書をチェーンから削除しても安全ですか?もしそうなら、なぜNamecheapがそもそもそれを含めるのでしょうか?

ssl-certificate  certificate-authority 
クリス・フレデリック
ソース

回答:

14

それを含めることは意味がありません。クライアントのブラウザまたはライブラリが信頼できる証明書としてそれを持っている場合、明らかにそれは別のコピーを必要としません。

Namecheapが彼らの指示にそれを含める理由はわかりません。豊富な注意?それを含めることは、エラーや仕様コンプライアンス違反ではありません。あなたのサイトはそれが存在すればうまく動作します。ただし、ハンドシェイクの処理時間は(非常に)わずかに増加し、Qualysが警告として含める理由は他にありません。

https://community.qualys.com/thread/11234

ジェフ・スナイダー
ソース
1
クライアントブラウザーがCA証明書を信頼していない場合、ユーザーはそのCA証明書を信頼されたルートのリストに追加したいが、これを行うにはCA証明書が必要だと思うかもしれません。
-Joker_vD
2
@Joker_vDそれはブラウザではありそうもないことです。証明書がIoTまたは組み込みデバイスでの使用を目的としている場合、もう少し高い可能性があります。この場合、ルート証明書の「標準」セットは必ずしもインストールされません。それでも、これらの種類のオペレーティングシステムで作業する人は、CAのWebサイトからルート証明書を簡単にダウンロードできるはずです。それは奇妙だ。
マルタインHeemels
5

他の一部の人がこの問題を抱えているようです -はい、リンクごとにNameCheapの設定手順を無視しても安全です:

それは正解です。アンカーが許可されていないという意味では問題ではありませんが、余分な証明書(目的を果たさない)がハンドシェイクレイテンシを増加させているということです。一部の人々はそれを気にします。それがテストで情報を提供する理由です。

コノーブ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.