সিএ বান্ডলে কোনও রুট শংসাপত্র অন্তর্ভুক্ত করা উচিত?

একটি নেমচিপ শংসাপত্র সঠিকভাবে ইনস্টল করা হয়েছে তা নিশ্চিত করতে আমি সম্প্রতি কোয়ালিস এসএসএল সার্ভার টেস্ট পরিদর্শন করেছি । একটি চেইন ইস্যু ("অ্যাঙ্কর ধারণ করে") বাদে সবকিছু ঠিকঠাক দেখাচ্ছে:

দেখে মনে হচ্ছে যে আমার আগেই (বেশিরভাগ?) ট্রাস্ট স্টোরের উপস্থিত অ্যাডট্রাস্ট বাহ্যিক সিএ রুটটি সরিয়ে এই সমস্যাটি সমাধান করতে সক্ষম হওয়া উচিত। তবে নেমচেপের নিজস্ব ইনস্টলেশন নির্দেশাবলী স্পষ্টভাবে জানিয়েছে যে এটি তাদের সিএ বান্ডেলের তিনটি শংসাপত্রের মধ্যে একটি:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

নামচাপের নির্দেশাবলী উপেক্ষা করে চেইন থেকে অ্যাডট্রাস্ট বহিরাগত সিএ রুটের শংসাপত্রটি সরিয়ে ফেলা কি নিরাপদ? যদি তা হয় তবে নেমচিপ কেন এটিকে প্রথম স্থানে অন্তর্ভুক্ত করবে?

এটি অন্তর্ভুক্ত করার কোনও লাভ নেই। যদি ক্লায়েন্ট ব্রাউজার বা লাইব্রেরিটির এটি বিশ্বস্ত শংসাপত্র হিসাবে থাকে তবে স্পষ্টতই এর আর একটি অনুলিপি লাগবে না, যদি তা না থাকে তবে এটি এতে বিশ্বাস করে না।

নেমচিপ কেন তাদের নির্দেশিকায় এটি অন্তর্ভুক্ত করবে তা আমার কোনও ধারণা নেই। সাবধানতার প্রাচুর্য? এটি অন্তর্ভুক্ত করার জন্য এটি কোনও ত্রুটি বা নির্দিষ্ট মেনে চলা লঙ্ঘন নয়। আপনার সাইট এটি উপস্থিত সঙ্গে সূক্ষ্ম কাজ করবে। তবে এটি হ্যান্ডশেক প্রসেসিংয়ের সময় সামান্য (খুব) যুক্ত হবে এবং অন্য কোনও ব্যবহারিক উদ্দেশ্য কাজ করবে না বলেই কোয়ালিস এটিকে সতর্কতা হিসাবে অন্তর্ভুক্ত করেছে।

https://community.qualys.com/thread/11234

দেখে মনে হচ্ছে অন্য কারও কাছে এই সমস্যা রয়েছে - এবং হ্যাঁ, লিঙ্কটি অনুসারে নেমচিপ কনফিগারেশন নির্দেশাবলী উপেক্ষা করা নিরাপদ হতে পারে:

হ্যাঁ, এটা সঠিক। এটি অর্থে কোনও সমস্যা নয় যে অ্যাঙ্করটির অনুমতি নেই, তবে অতিরিক্ত শংসাপত্র (যা কোনও উদ্দেশ্য করে না) হ্যান্ডশেকের বিলম্বকে বাড়িয়ে তুলছে। কিছু লোক সে সম্পর্কে যত্নশীল হয়, এজন্য পরীক্ষায় তথ্য সরবরাহ করে।