Un certificat racine doit-il être inclus dans un bundle CA?

J'ai récemment visité le test du serveur SSL Qualys pour confirmer qu'un certificat Namecheap a été installé correctement. Tout allait bien sauf un problème de chaîne ("Contient une ancre"):

Il semble que je devrais être en mesure de résoudre ce problème en supprimant la racine de l'autorité de certification externe AddTrust, qui est déjà présente dans (la plupart?) Des magasins de clés de confiance. Cependant, les propres instructions d'installation de Namecheap indiquent explicitement qu'il s'agit de l'un des trois certificats de leur bundle CA:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

Est-il sûr d'ignorer les instructions de Namecheap et de supprimer le certificat racine de l'autorité de certification externe AddTrust de la chaîne? Si oui, pourquoi Namecheap l'inclurait-il en premier lieu?

Il est inutile de l'inclure. Si le navigateur ou la bibliothèque client l'a comme certificat de confiance, il n'a évidemment pas besoin d'une autre copie, s'il ne l'a pas, l'inclure ne va pas lui faire confiance.

Je n'ai aucune idée pourquoi Namecheap l'inclurait dans leurs instructions. Abondance de prudence? Ce n'est pas une erreur ou une violation de conformité aux spécifications de l'inclure. Votre site fonctionnera bien avec sa présence. Cependant, cela augmentera (très) légèrement le temps de traitement de la prise de contact et ne sert à rien d'autre, c'est pourquoi Qualys l'inclut comme avertissement.

https://community.qualys.com/thread/11234

Il semble que d'autres ont eu ce problème - et oui, il peut être sûr d'ignorer les instructions de configuration de NameCheap par le lien:

Oui c'est correct. Ce n'est pas un problème dans le sens où l'ancre n'est pas autorisée, mais que le certificat supplémentaire (qui ne sert à rien) augmente la latence de la prise de contact. Certaines personnes se soucient de cela, c'est pourquoi fournir les informations dans le test.