Um certificado raiz deve ser incluído em um pacote configurável da CA?

Visitei recentemente o Teste do servidor SSL da Qualys para confirmar que um certificado Namecheap foi instalado corretamente. Tudo parecia bem, exceto por um problema de cadeia ("Contém âncora"):

Parece que eu devo resolver esse problema removendo a raiz da CA externa do AddTrust, que já está presente em (a maioria?) Armazenamentos confiáveis. No entanto, as próprias instruções de instalação da Namecheap afirmam explicitamente que este é um dos três certificados em seu pacote CA:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

É seguro ignorar as instruções da Namecheap e remover o certificado da raiz da CA externa do AddTrust da cadeia? Se sim, por que a Namecheap o incluiria em primeiro lugar?

Não adianta incluí-lo. Se o navegador ou a biblioteca do cliente o possuir como certificado confiável, obviamente ele não precisará de outra cópia, se não o possuir, a inclusão de ele não fará com que confie nele.

Não faço ideia por que a Namecheap o incluiria em suas instruções. Abundância de cautela? Não é um erro ou violação de conformidade de especificações incluí-lo. Seu site funcionará bem com ele presente. No entanto, isso adicionará (muito) um pouco ao tempo de processamento do handshake e não serve a nenhum outro propósito prático, razão pela qual a Qualys o inclui como um aviso.

https://community.qualys.com/thread/11234

Parece que algumas pessoas tiveram esse problema - e sim, pode ser seguro ignorar as instruções de configuração do NameCheap pelo link:

Sim esta correto. Não é um problema no sentido de que a âncora não é permitida, mas que o certificado extra (que não serve para nada) está aumentando a latência do handshake. Algumas pessoas se preocupam com isso, e é por isso que fornecem as informações no teste.