Linux
製作鍊式證書時是否應該包含根 CA 證書
我正在使用 Godaddy 證書,通常我會連接證書並製作成鍊式證書
cat www.example.com.crt sf_bundle.crt > chained.cert
在我的 nginx.conf 中,
ssl_certificate chained.cert
在瀏覽器中,我看到如下鏈:
www.example.com Starfield Secure Certification Authority Starfield Technologies Inc.
沒關係,一切正常。
今天,我閱讀了 CloudFlare 的一篇博文
$$ 1 $$, 它說:
The lowest hanging fruit in terms of reducing the size of these certificates was to remove the root certificates from the certificate bundle. There's no reason to include these since they should already be present in browsers and, even if they're not, the browser won't trust them.
那麼,這是否意味著我可以在
Starfield Technologies Inc.
不影響 SSL 證書有效性的情況下刪除它並且我可以獲得更好的性能?$$ 1 $$ http://blog.cloudflare.com/what-we-just-did-to-make-ssl-even-faster
這取決於什麼樣的實體簽署了您的證書。
如果它是由根 CA 直接簽名的,那麼使用您自己的 Web 伺服器重新提供這樣的根 CA 確實沒有什麼意義。
但是,如果它是由中間 CA 頒發的,並且您沒有將其捆綁在您的證書中,那麼如果某些使用者以前從未見過這樣的中間 CA,那麼您就有可能讓某些使用者收到有關證書被破壞的警告.
https://superuser.com/a/524234/180573
如何知道自己處於哪種情況?您可以使用http://www.digicert.com/help/?host=進行測試