Kök sertifika CA paketine eklenmeli mi?

11

Kısa süre önce bir Namecheap sertifikasının düzgün şekilde yüklendiğini onaylamak için Qualys SSL Sunucu Testini ziyaret ettim . Bir zincir sorunu hariç her şey iyi görünüyordu ("Çapa içerir"):

Sertifika zinciri

Görünüşe göre (çoğu?) Güven depolarında bulunan AddTrust Dış CA Kökü'nü kaldırarak bu sorunu çözebilmeliyim. Bununla birlikte, Namecheap'in kendi kurulum talimatları , bunun CA paketindeki üç sertifikadan biri olduğunu açıkça belirtir:

  • ComodoRSADomainValidationSecureServerCA.crt
  • COMODORSAAddTrustCA.crt
  • AddTrustExternalCARoot.crt

Namecheap'in talimatlarını göz ardı etmek ve AddTrust Harici CA Kök sertifikasını zincirden kaldırmak güvenli mi? Eğer öyleyse, neden Namecheap ilk etapta dahil etsin?

ssl-certificate  certificate-authority 
Chris Frederick
kaynak

Yanıtlar:

14

Onu dahil etmenin bir faydası yok. İstemci tarayıcısı veya kitaplığı güvenilir bir sertifika olarak varsa, açıkçası başka bir kopyaya ihtiyaç duymaz, eğer yoksa, o zaman dahil olmak üzere ona güvenmeyecektir.

Namecheap'in neden talimatlarına dahil edeceği hakkında hiçbir fikrim yok. Dikkat bolluğu? Bunu eklemek bir hata veya teknik özellik ihlali ihlali değildir. Siteniz mevcut haliyle iyi çalışır. Bununla birlikte, el sıkışma işlem süresine (çok) biraz ekleyecek ve başka hiçbir pratik amaca hizmet etmeyecektir, bu yüzden Qualys bunu bir uyarı olarak içerir.

https://community.qualys.com/thread/11234

Jeff Snider
kaynak
1
Belki de istemci tarayıcısı CA sertifikalarına güvenmezse, kullanıcının bu CA sertifikasını güvenilir kökler listesine eklemek istediğine inanır, ancak bunu yapmak için CA sertifikasına sahip olması gerekir, .
Joker_vD
2
@Joker_vD Bu tarayıcılarda pek olası değil. Sertifikanın, 'standart' bir kök sertifika kümesinin zorunlu olarak yüklenmediği IoT veya yerleşik cihazlarda kullanılması gerekiyorsa, biraz daha olasıdır. Yine de, bu tür İşletim Sistemleri üzerinde çalışan insanlar, kök sertifikayı CA'nın web sitesinden kolayca indirebilmelidir. Bu garip.
Martijn Heemels
5

Bazıları bu sorunu yaşıyor gibi görünüyor - ve evet, bağlantı başına NameCheap yapılandırma talimatlarını göz ardı etmek güvenli olabilir:

Evet doğru. Çapaya izin verilmemesi açısından bir sorun değil, ancak (hiçbir amaca hizmet etmeyen) ekstra sertifikanın el sıkışma gecikmesini artırması bir sorun. Bazı insanlar bunu önemsiyor, bu yüzden testteki bilgileri sağlayın.

conorb
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.