web-dev-qa-db-ja.com

連鎖証明書を作成するときにルートCA証明書を含める必要があります

私はGodaddy証明書を使用していますが、通常は証明書を連結して連鎖証明書にします

cat www.example.com.crt sf_bundle.crt > chained.cert

そして私のnginx.confでは、

ssl_certificate chained.cert

ブラウザでは、チェーンは次のように表示されます。

www.example.com
  Starfield Secure Certification Authority
    Starfield Technologies Inc.

それは問題ありません、すべてが機能しています。

今日、私はCloudFlare [1]からのブログ投稿を読みました、それは言いました:

The lowest hanging fruit in terms of reducing 
the size of these certificates was to remove the 
root certificates from the certificate bundle. 
There's no reason to include these since they should already be 
present in browsers and, even if they're not, the browser won't trust them.

つまり、SSL証明書の有効性に影響を与えることなくStarfield Technologies Inc.を削除でき、パフォーマンスを向上させることができるということですか?

[1] http://blog.cloudflare.com/what-we-just-did-to-make-ssl-even-faster

linuxsecuritynginxsslopenssl
6
Howard

証明書に署名したエンティティの種類によって異なります。

ルートCAによって直接署名されている場合、そのようなルートCAを独自のWebサーバーで予約する意味はほとんどありません。

ただし、それが中間CAによって発行されたものであり、それを証明書内にバンドルしない場合、特定のユーザーがそのような中間CAをこれまでに見たことがない場合、証明書が壊れているという警告を受け取るリスクがあります。 。

https://superuser.com/a/524234/18057

あなたがどのような状況にあるかを知る方法は? http://www.digicert.com/help/?host= でテストできます

2
cnst