Haruskah sertifikat root dimasukkan dalam bundel CA?


11

Saya baru-baru ini mengunjungi Qualys SSL Server Test untuk mengkonfirmasi bahwa sertifikat Namecheap diinstal dengan benar. Semuanya tampak baik-baik saja kecuali untuk satu masalah berantai ("Berisi jangkar"):

Rantai sertifikat

Tampaknya saya harus dapat menyelesaikan masalah ini dengan menghapus AddTrust External CA Root, yang sudah ada di toko trust (kebanyakan?). Namun, instruksi instalasi Namecheap sendiri secara eksplisit menyatakan bahwa ini adalah salah satu dari tiga sertifikat dalam bundel CA mereka:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

Apakah aman untuk mengabaikan instruksi Namecheap dan menghapus sertifikat AddTrust External CA Root dari rantai? Jika demikian, mengapa Namecheap memasukkannya di tempat pertama?

Jawaban:


14

Tidak ada gunanya untuk memasukkannya. Jika peramban atau pustaka klien memilikinya sebagai sertifikat tepercaya maka jelas tidak memerlukan salinan lain, jika tidak memilikinya maka termasuk itu tidak akan membuatnya mempercayainya.

Saya tidak tahu mengapa Namecheap akan memasukkannya dalam instruksi mereka. Kelimpahan kehati-hatian? Ini bukan kesalahan atau pelanggaran kepatuhan spesifikasi untuk memasukkannya. Situs Anda akan berfungsi dengan baik jika ada. Namun itu akan menambah (sangat) sedikit ke waktu pemrosesan jabat tangan dan tidak melayani tujuan praktis lain yang mengapa Qualys memasukkannya sebagai peringatan.

https://community.qualys.com/thread/11234


1
Mungkin mereka percaya bahwa jika browser klien tidak mempercayai sertifikat CA mereka, pengguna ingin menambahkan sertifikat CA itu ke daftar akar tepercaya, tetapi dia harus memiliki sertifikat CA untuk melakukan ini, bukankah dia .
Joker_vD

2
@ Joker_vD Itu tidak mungkin di browser. Sedikit lebih mungkin jika sertifikat dimaksudkan untuk digunakan di IoT atau perangkat yang disematkan, di mana seperangkat sertifikat root 'standar' belum tentu diinstal. Namun, orang yang bekerja pada Sistem Operasi semacam itu harus dapat mengunduh sertifikat root dari situs web CA dengan mudah. Itu aneh.
Martijn Heemels

5

Sepertinya beberapa orang lain memiliki masalah ini - dan ya, mungkin aman untuk mengabaikan instruksi konfigurasi NameCheap per tautan:

Ya itu benar. Ini bukan masalah dalam arti bahwa jangkar tidak diperbolehkan, tetapi bahwa sertifikat tambahan (yang tidak memiliki tujuan) meningkatkan latensi jabat tangan. Beberapa orang peduli akan hal itu, oleh karena itu berikan informasi dalam ujian.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.