¿Debería incluirse un certificado raíz en un paquete de CA?

11

Recientemente visité la Prueba del servidor SSL de Qualys para confirmar que un certificado Namecheap se instaló correctamente. Todo se veía bien excepto por un problema de cadena ("Contiene ancla"):

Cadena de certificados

Parece que debería poder resolver este problema eliminando la raíz externa de CA AddTrust, que ya está presente en (¿la mayoría?) Almacenes de confianza. Sin embargo, las instrucciones de instalación de Namecheap indican explícitamente que este es uno de los tres certificados en su paquete CA:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

¿Es seguro ignorar las instrucciones de Namecheap y eliminar el certificado AddTrust External CA Root de la cadena? Si es así, ¿por qué Namecheap lo incluiría en primer lugar?

Chris Frederick
fuente

Respuestas:

14

No sirve de nada incluirlo. Si el navegador o la biblioteca del cliente lo tiene como un certificado de confianza, entonces obviamente no necesita otra copia, si no lo tiene, incluirlo no hará que confíe en él.

No tengo idea de por qué Namecheap lo incluiría en sus instrucciones. ¿Abundancia de precaución? No es un error o una violación del cumplimiento de especificaciones incluirlo. Su sitio funcionará bien con el presente. Sin embargo, agregará (muy) un poco al tiempo de procesamiento del protocolo de enlace y no sirve para ningún otro propósito práctico, por lo que Qualys lo incluye como advertencia.

https://community.qualys.com/thread/11234

Jeff Snider
fuente
1
Tal vez creen que si el navegador del cliente no confía en su certificado de CA, el usuario desearía agregar ese certificado de CA a la lista de raíces confiables, pero necesitaría tener el certificado de CA para hacer esto, ¿verdad? .
Joker_vD
2
@Joker_vD Eso es poco probable en los navegadores. Un poco más probable si el certificado está destinado a usarse en IoT o dispositivos integrados, donde un conjunto 'estándar' de certificados raíz no está necesariamente instalado. Aun así, las personas que trabajan en ese tipo de sistemas operativos deberían poder descargar el certificado raíz del sitio web de la CA con la misma facilidad. Es raro.
Martijn Heemels
5

Parece que algunos otros han tenido este problema , y sí, podría ser seguro ignorar las instrucciones de configuración de NameCheap según el enlace:

Si eso es correcto. No es un problema en el sentido de que el ancla no esté permitida, sino que el certificado adicional (que no sirve para nada) está aumentando la latencia del apretón de manos. Algunas personas se preocupan por eso, por lo que proporcionan la información en la prueba.

conorb
fuente