Sollte ein Stammzertifikat in einem CA-Bundle enthalten sein?

11

Ich habe kürzlich den Qualys SSL Server Test besucht , um zu bestätigen, dass ein Namecheap-Zertifikat ordnungsgemäß installiert wurde. Bis auf ein Kettenproblem ("Enthält Anker") sah alles gut aus:

Zertifikatskette

Es scheint, dass ich in der Lage sein sollte, dieses Problem zu beheben, indem ich das externe AddTrust-CA-Stammverzeichnis entferne, das bereits in (den meisten?) Trust Stores vorhanden ist. In den Installationsanweisungen von Namecheap wird jedoch ausdrücklich angegeben, dass dies eines der drei Zertifikate in ihrem CA-Bundle ist:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

Ist es sicher, die Anweisungen von Namecheap zu ignorieren und das AddTrust External CA Root-Zertifikat aus der Kette zu entfernen? Wenn ja, warum sollte Namecheap es überhaupt aufnehmen?

Chris Frederick
quelle

Antworten:

14

Es hat keinen Sinn, es aufzunehmen. Wenn der Client-Browser oder die Client-Bibliothek es als vertrauenswürdiges Zertifikat hat, benötigt es offensichtlich keine weitere Kopie. Wenn es nicht vorhanden ist, wird es nicht dazu gebracht, ihm zu vertrauen.

Ich habe keine Ahnung, warum Namecheap es in ihre Anweisungen aufnehmen würde. Vorsicht? Es ist kein Fehler oder eine Verletzung der Spezifikationskonformität, ihn einzuschließen. Ihre Website wird gut damit funktionieren. Es verlängert jedoch (sehr) geringfügig die Handshake-Verarbeitungszeit und dient keinem anderen praktischen Zweck, weshalb Qualys es als Warnung einfügt.

https://community.qualys.com/thread/11234

Jeff Snider
quelle
1
Vielleicht glauben sie, wenn der Client-Browser ihrem CA-Zertifikat nicht vertraut, möchte der Benutzer dieses CA-Zertifikat zur Liste der vertrauenswürdigen Roots hinzufügen, aber er müsste das CA-Zertifikat haben, um dies zu tun, nicht wahr? .
Joker_vD
2
@Joker_vD Das ist in Browsern unwahrscheinlich. Etwas wahrscheinlicher, wenn das Zertifikat für die Verwendung in IoT- oder eingebetteten Geräten vorgesehen ist, auf denen nicht unbedingt ein Standardsatz von Stammzertifikaten installiert ist. Benutzer, die an solchen Betriebssystemen arbeiten, sollten das Stammzertifikat jedoch genauso einfach von der Website der Zertifizierungsstelle herunterladen können. Es ist komisch.
Martijn Heemels
5

Es sieht so aus, als hätten einige andere dieses Problem gehabt - und ja, es ist sicher, die Anweisungen zur NameCheap-Konfiguration über den Link zu ignorieren:

Ja das ist richtig. Es ist kein Problem in dem Sinne, dass der Anker nicht erlaubt ist, sondern dass das zusätzliche Zertifikat (das keinen Zweck erfüllt) die Handshake-Latenz erhöht. Einige Leute kümmern sich darum, weshalb sie die Informationen im Test bereitstellen.

conorb
quelle