Haruskah sertifikat root dimasukkan dalam bundel CA?

Saya baru-baru ini mengunjungi Qualys SSL Server Test untuk mengkonfirmasi bahwa sertifikat Namecheap diinstal dengan benar. Semuanya tampak baik-baik saja kecuali untuk satu masalah berantai ("Berisi jangkar"):

Tampaknya saya harus dapat menyelesaikan masalah ini dengan menghapus AddTrust External CA Root, yang sudah ada di toko trust (kebanyakan?). Namun, instruksi instalasi Namecheap sendiri secara eksplisit menyatakan bahwa ini adalah salah satu dari tiga sertifikat dalam bundel CA mereka:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

Apakah aman untuk mengabaikan instruksi Namecheap dan menghapus sertifikat AddTrust External CA Root dari rantai? Jika demikian, mengapa Namecheap memasukkannya di tempat pertama?

Tidak ada gunanya untuk memasukkannya. Jika peramban atau pustaka klien memilikinya sebagai sertifikat tepercaya maka jelas tidak memerlukan salinan lain, jika tidak memilikinya maka termasuk itu tidak akan membuatnya mempercayainya.

Saya tidak tahu mengapa Namecheap akan memasukkannya dalam instruksi mereka. Kelimpahan kehati-hatian? Ini bukan kesalahan atau pelanggaran kepatuhan spesifikasi untuk memasukkannya. Situs Anda akan berfungsi dengan baik jika ada. Namun itu akan menambah (sangat) sedikit ke waktu pemrosesan jabat tangan dan tidak melayani tujuan praktis lain yang mengapa Qualys memasukkannya sebagai peringatan.

https://community.qualys.com/thread/11234

Sepertinya beberapa orang lain memiliki masalah ini - dan ya, mungkin aman untuk mengabaikan instruksi konfigurasi NameCheap per tautan:

Ya itu benar. Ini bukan masalah dalam arti bahwa jangkar tidak diperbolehkan, tetapi bahwa sertifikat tambahan (yang tidak memiliki tujuan) meningkatkan latensi jabat tangan. Beberapa orang peduli akan hal itu, oleh karena itu berikan informasi dalam ujian.