Um certificado raiz deve ser incluído em um pacote configurável da CA?


11

Visitei recentemente o Teste do servidor SSL da Qualys para confirmar que um certificado Namecheap foi instalado corretamente. Tudo parecia bem, exceto por um problema de cadeia ("Contém âncora"):

Cadeia de certificados

Parece que eu devo resolver esse problema removendo a raiz da CA externa do AddTrust, que já está presente em (a maioria?) Armazenamentos confiáveis. No entanto, as próprias instruções de instalação da Namecheap afirmam explicitamente que este é um dos três certificados em seu pacote CA:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

É seguro ignorar as instruções da Namecheap e remover o certificado da raiz da CA externa do AddTrust da cadeia? Se sim, por que a Namecheap o incluiria em primeiro lugar?

Respostas:


14

Não adianta incluí-lo. Se o navegador ou a biblioteca do cliente o possuir como certificado confiável, obviamente ele não precisará de outra cópia, se não o possuir, a inclusão de ele não fará com que confie nele.

Não faço ideia por que a Namecheap o incluiria em suas instruções. Abundância de cautela? Não é um erro ou violação de conformidade de especificações incluí-lo. Seu site funcionará bem com ele presente. No entanto, isso adicionará (muito) um pouco ao tempo de processamento do handshake e não serve a nenhum outro propósito prático, razão pela qual a Qualys o inclui como um aviso.

https://community.qualys.com/thread/11234


1
Talvez eles acreditem que, se o navegador do cliente não confiar no certificado da CA, o usuário gostaria de adicioná-lo à lista de raízes confiáveis, mas ela precisaria ter o certificado da CA para fazer isso, não é? .
Joker_vD

2
@Joker_vD Isso é improvável nos navegadores. Um pouco mais provável se o certificado for usado para IoT ou dispositivos incorporados, onde um conjunto 'padrão' de certificados raiz não está necessariamente instalado. Mesmo assim, as pessoas que trabalham com esses tipos de sistemas operacionais devem poder baixar o certificado raiz do site da CA com a mesma facilidade. É estranho.
Martijn Heemels

5

Parece que algumas pessoas tiveram esse problema - e sim, pode ser seguro ignorar as instruções de configuração do NameCheap pelo link:

Sim esta correto. Não é um problema no sentido de que a âncora não é permitida, mas que o certificado extra (que não serve para nada) está aumentando a latência do handshake. Algumas pessoas se preocupam com isso, e é por isso que fornecem as informações no teste.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.