Linux

製作鍊式證書時是否應該包含根 CA 證書

  • January 27, 2013

我正在使用 Godaddy 證書,通常我會連接證書並製作成鍊式證書

cat www.example.com.crt sf_bundle.crt > chained.cert

在我的 nginx.conf 中,

ssl_certificate chained.cert

在瀏覽器中,我看到如下鏈:

www.example.com
 Starfield Secure Certification Authority
   Starfield Technologies Inc.

沒關係,一切正常。

今天,我閱讀了 CloudFlare 的一篇博文

$$ 1 $$, 它說:

The lowest hanging fruit in terms of reducing 
the size of these certificates was to remove the 
root certificates from the certificate bundle. 
There's no reason to include these since they should already be 
present in browsers and, even if they're not, the browser won't trust them.

那麼,這是否意味著我可以在Starfield Technologies Inc.不影響 SSL 證書有效性的情況下刪除它並且我可以獲得更好的性能?

$$ 1 $$ http://blog.cloudflare.com/what-we-just-did-to-make-ssl-even-faster

這取決於什麼樣的實體簽署了您的證書。

如果它是由根 CA 直接簽名的,那麼使用您自己的 Web 伺服器重新提供這樣的根 CA 確實沒有什麼意義。

但是,如果它是由中間 CA 頒發的,並且您沒有將其捆綁在您的證書中,那麼如果某些使用者以前從未見過這樣的中間 CA,那麼您就有可能讓某些使用者收到有關證書被破壞的警告.

https://superuser.com/a/524234/180573

如何知道自己處於哪種情況?您可以使用http://www.digicert.com/help/?host=進行測試

引用自:https://serverfault.com/questions/472818