Un certificat racine doit-il être inclus dans un bundle CA?

11

J'ai récemment visité le test du serveur SSL Qualys pour confirmer qu'un certificat Namecheap a été installé correctement. Tout allait bien sauf un problème de chaîne ("Contient une ancre"):

Chaîne de certificats

Il semble que je devrais être en mesure de résoudre ce problème en supprimant la racine de l'autorité de certification externe AddTrust, qui est déjà présente dans (la plupart?) Des magasins de clés de confiance. Cependant, les propres instructions d'installation de Namecheap indiquent explicitement qu'il s'agit de l'un des trois certificats de leur bundle CA:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

Est-il sûr d'ignorer les instructions de Namecheap et de supprimer le certificat racine de l'autorité de certification externe AddTrust de la chaîne? Si oui, pourquoi Namecheap l'inclurait-il en premier lieu?

Chris Frederick
la source

Réponses:

14

Il est inutile de l'inclure. Si le navigateur ou la bibliothèque client l'a comme certificat de confiance, il n'a évidemment pas besoin d'une autre copie, s'il ne l'a pas, l'inclure ne va pas lui faire confiance.

Je n'ai aucune idée pourquoi Namecheap l'inclurait dans leurs instructions. Abondance de prudence? Ce n'est pas une erreur ou une violation de conformité aux spécifications de l'inclure. Votre site fonctionnera bien avec sa présence. Cependant, cela augmentera (très) légèrement le temps de traitement de la prise de contact et ne sert à rien d'autre, c'est pourquoi Qualys l'inclut comme avertissement.

https://community.qualys.com/thread/11234

Jeff Snider
la source
1
Peut-être pensent-ils que si le navigateur client ne fait pas confiance à leur certificat CA, l'utilisateur aimerait ajouter ce certificat CA à la liste des racines de confiance, mais il aurait besoin d'avoir le certificat CA pour ce faire, n'est-ce pas? .
Joker_vD
2
@Joker_vD C'est peu probable dans les navigateurs. Un peu plus probable si le certificat est destiné à être utilisé dans l'IoT ou les appareils intégrés, où un ensemble «standard» de certificats racine n'est pas nécessairement installé. Néanmoins, les personnes travaillant sur ces types de systèmes d'exploitation devraient pouvoir télécharger le certificat racine à partir du site Web de l'autorité de certification tout aussi facilement. C'est étrange.
Martijn Heemels
5

Il semble que d'autres ont eu ce problème - et oui, il peut être sûr d'ignorer les instructions de configuration de NameCheap par le lien:

Oui c'est correct. Ce n'est pas un problème dans le sens où l'ancre n'est pas autorisée, mais que le certificat supplémentaire (qui ne sert à rien) augmente la latence de la prise de contact. Certaines personnes se soucient de cela, c'est pourquoi fournir les informations dans le test.

conorb
la source