Sto installando SSL e sono in dubbio riguardo alla concatenazione del cert del sito, del cert intermedio e del cert della radice o solo del cert del sito e intermedio?
Sto installando SSL e sono in dubbio riguardo alla concatenazione del cert del sito, del cert intermedio e del cert della radice o solo del cert del sito e intermedio?
TL; DR Concatena tutto tranne root.
È richiesto solo di concatenare il certificato del sito con il certificato intermedio. Se sono disponibili più certificati intermedi, è necessario concatenarli tutti.
Il "certificato radice" è l'ultimo certificato della catena: è l'ultimo perché è autofirmato e nessun altro certificato al mondo potrebbe verificarlo.
La concatenazione di root funzionerà ma non è raccomandato . Il software lato client (browser Web) correttamente implementato non può mai fidarsi di una root ricevuta dal tuo sito. deve deve ignorarlo. Ha tutte le radici valide nel suo negozio di fiducia e non c'è motivo di fidarsi di una radice distribuita su una connessione non sicura da un sito casuale.
Se un utente desidera escludere il tuo sito dalla convalida del certificato, non è nemmeno utile per loro aggiungere il tuo certificato root al trust store. È più che probabile che l'utente non sia a conoscenza del fatto che apre la porta a quasi tutte le loro connessioni SSL (eccetto quelle bloccate). Dovrebbero sempre fidarsi solo del tuo site certificato (ovvero il certificato foglia).
Il popolare sito di test ssllabs.com emette un piccolo avviso nel caso in cui una radice sia concatenata, descrivendo la connessione con qualcosa come "contiene ancora".
Leggi altre domande sui tag tls