Чи повинен кореневий сертифікат бути включений до пакету CA?

Нещодавно я відвідав тест сервера Qualys SSL, щоб підтвердити, що сертифікат Namecheap встановлений правильно. Все виглядало нормально, за винятком одного випуску ланцюга ("Містить якір"):

Здається, що мені вдасться вирішити цю проблему, видаливши корінь кореспонденції AddTrust External, який вже присутній у (більшості?) Довірених магазинах. Однак у власних інструкціях щодо встановлення Namecheap прямо вказано, що це один із трьох сертифікатів у їх пакеті CA:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

Чи безпечно ігнорувати вказівки Namecheap та видаляти сертифікат AddTrust External CA Root з ланцюга? Якщо так, навіщо Namecheap включати його в першу чергу?

Немає сенсу включати його. Якщо веб-переглядач або бібліотека клієнта має його як довірений сертифікат, він, очевидно, не потребує іншої копії, якщо її немає, то в тому числі і не збирається змусити її довіряти.

Я поняття не маю, чому Namecheap включив би це до своїх інструкцій. Багаття обережності? Це не помилка чи порушення відповідності специфікації, щоб включити її. Ваш сайт буде добре працювати з присутніми. Однак це трохи додасть часу обробки рукостискання і не виконує ніяких інших практичних цілей, тому Qualys включає його як попередження.

https://community.qualys.com/thread/11234

Схоже, у деяких виникли проблеми - і так, може бути безпечно ігнорувати інструкції конфігурації NameCheap за посиланням:

Так, це правильно. Справа не в тому, що якір не дозволений, а в тому, що додатковий сертифікат (який не виконує жодної мети) збільшує затримку рукостискання. Деяких людей це хвилює, саме тому надайте інформацію в тесті.