क्या रूट प्रमाणपत्र को सीए बंडल में शामिल किया जाना चाहिए?

मैंने हाल ही में क्वालिस एसएसएल सर्वर टेस्ट की पुष्टि की है कि नामचर्चा प्रमाणपत्र ठीक से स्थापित किया गया था। एक चेन इशू ("एंकर शामिल है") को छोड़कर सब कुछ ठीक लग रहा था:

ऐसा लगता है कि मुझे AddTrust बाहरी CA रूट को हटाकर इस समस्या को हल करने में सक्षम होना चाहिए, जो पहले से मौजूद (अधिकांश!) ट्रस्ट स्टोर्स में मौजूद है। हालाँकि, नेमप्के के अपने इंस्टॉलेशन निर्देशों में स्पष्ट रूप से कहा गया है कि यह उनके CA बंडल में तीन प्रमाणपत्रों में से एक है:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

क्या नामचर्चा के निर्देशों को अनदेखा करना और श्रृंखला से AddTrust बाहरी CA रूट प्रमाणपत्र को निकालना सुरक्षित है? यदि हां, तो Namecheap इसे पहले स्थान पर क्यों शामिल करेगा?

इसमें शामिल करने का कोई फायदा नहीं है। यदि क्लाइंट ब्राउज़र या लाइब्रेरी के पास एक विश्वसनीय प्रमाण पत्र है, तो उसे स्पष्ट रूप से दूसरी कॉपी की आवश्यकता नहीं है, अगर उसके पास यह नहीं है, तो इसमें यह विश्वास करने वाला नहीं है।

मुझे नहीं पता कि Namecheap इसे अपने निर्देशों में शामिल क्यों करेगा। सावधानी की प्रचुरता? इसे शामिल करने के लिए कोई त्रुटि या कल्पना अनुपालन उल्लंघन नहीं है। आपकी साइट वर्तमान के साथ ठीक काम करेगी। हालांकि, यह हैंडशेक प्रसंस्करण समय में थोड़ा (बहुत) जोड़ देगा और कोई अन्य व्यावहारिक उद्देश्य नहीं देता है यही कारण है कि क्वालिस इसमें चेतावनी के रूप में शामिल है।

https://community.qualys.com/thread/11234

ऐसा लगता है कि कुछ अन्य लोगों के पास यह मुद्दा है - और हां, लिंक के अनुसार NameCheap कॉन्फ़िगरेशन निर्देशों को अनदेखा करना सुरक्षित हो सकता है:

हाँ, यह सही है। यह इस अर्थ में एक मुद्दा नहीं है कि लंगर की अनुमति नहीं है, लेकिन अतिरिक्त प्रमाण पत्र (जो कोई उद्देश्य नहीं है) हैंडशेक विलंबता को बढ़ा रहा है। कुछ लोग इसकी परवाह करते हैं, यही वजह है कि परीक्षण में जानकारी प्रदान करते हैं।