최근에 Qualys SSL Server Test 를 방문하여 Namecheap 인증서가 올바르게 설치되었는지 확인했습니다. 하나의 체인 문제 ( “앵커 포함”)를 제외하고는 모든 것이 잘 보입니다.
이미 (대부분의) 신뢰 저장소에있는 AddTrust External CA Root를 제거하여이 문제를 해결할 수있을 것 같습니다. 그러나 Namecheap의 자체 설치 지침 은 이것이 해당 CA 번들에있는 3 개의 인증서 중 하나라고 명시 적으로 명시합니다.
ComodoRSADomainValidationSecureServerCA.crtCOMODORSAAddTrustCA.crtAddTrustExternalCARoot.crt
Namecheap의 지침을 무시하고 체인에서 AddTrust External CA Root 인증서를 제거하는 것이 안전합니까? 그렇다면 Namecheap이 왜 처음에 포함합니까?
답변
포함하지 않아도됩니다. 클라이언트 브라우저 또는 라이브러리에 신뢰할 수있는 인증서가있는 경우 다른 사본이 필요하지 않습니다. 그렇지 않은 경우이를 포함하면 인증서를 신뢰하지 않습니다.
나는 Namecheap이 왜 그것들을 그들의 지시에 포함 시킬지 모른다. 풍부한주의? 포함하는 것은 오류 또는 사양 준수 위반이 아닙니다. 귀하의 사이트가 잘 작동합니다. 그러나 핸드 셰이크 처리 시간이 약간 길어지고 (실질적으로) 다른 실용적인 목적을 제공하지 않으므로 Qualys는이를 경고로 포함합니다.
답변
다른 사람들 이이 문제를 겪은 것처럼 보입니다. 그렇습니다. 링크 당 NameCheap 구성 지침을 무시하는 것이 안전 할 수 있습니다.
예, 맞습니다. 앵커가 허용되지 않는다는 점에서 문제가되지는 않지만 추가 인증서 (목적을 제공하지 않음)는 핸드 쉐이크 대기 시간을 늘리고 있습니다. 어떤 사람들은 그것에 관심이 있기 때문에 테스트에 정보를 제공하는 이유입니다.