在制作链接证书时是否应包括根CA证书？

Question

我使用的是高爸爸证书，通常我会把证书连接起来，制成链状证书。

cat www.example.com.crt sf_bundle.crt > chained.cert

在我的nginx.conf里，

ssl_certificate chained.cert

在浏览器中，我看到如下链：

www.example.com
  Starfield Secure Certification Authority
    Starfield Technologies Inc.

很好，一切正常。

今天，我读了一篇来自CloudFlare 1的博文，上面写着：

The lowest hanging fruit in terms of reducing 
the size of these certificates was to remove the 
root certificates from the certificate bundle. 
There's no reason to include these since they should already be 
present in browsers and, even if they're not, the browser won't trust them.

那么，这是否意味着我可以在不影响SSL证书有效性的情况下删除Starfield Technologies Inc.，并且我可以有更好的性能？

1

Answer 1

这取决于哪种实体签署了您的证书。

如果它是由根CA直接签名的，那么使用您自己的web服务器重新服务这样的根CA就没有什么意义了。

但是，如果它是由一个中间CA颁发的，并且您没有将它捆绑在您的证书中，那么如果某些用户以前从未见过这样的中间CA，那么就有可能会收到有关证书被破坏的警告。

https://superuser.com/a/524234/180573

怎样才能知道你现在的处境？您可以使用http://www.digicert.com/help/?host=进行测试