Chứng chỉ gốc có nên được bao gồm trong gói CA không?

Gần đây tôi đã truy cập Kiểm tra Máy chủ SSL Qualys để xác nhận rằng chứng chỉ Namecheap đã được cài đặt đúng cách. Mọi thứ đều ổn trừ một vấn đề về chuỗi ("Chứa neo"):

Có vẻ như tôi sẽ có thể giải quyết vấn đề này bằng cách xóa Root CA gốc bên ngoài, đã có trong các cửa hàng tin cậy (hầu hết?). Tuy nhiên, hướng dẫn cài đặt riêng của Namecheap nói rõ rằng đây là một trong ba chứng chỉ trong gói CA của họ:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

Có an toàn khi bỏ qua hướng dẫn của Namecheap và xóa chứng chỉ CA gốc AddTrust bên ngoài khỏi chuỗi không? Nếu vậy, tại sao Namecheap sẽ đưa nó vào vị trí đầu tiên?

Không có cách nào để bao gồm nó. Nếu trình duyệt hoặc thư viện máy khách có chứng chỉ tin cậy thì rõ ràng nó không cần bản sao khác, nếu nó không có thì nó sẽ không bao giờ khiến nó tin tưởng nó.

Tôi không biết tại sao Namecheap sẽ đưa nó vào hướng dẫn của họ. Sự thận trọng phong phú? Đó không phải là một lỗi hoặc vi phạm tuân thủ cụ thể để bao gồm nó. Trang web của bạn sẽ hoạt động tốt với nó hiện tại. Tuy nhiên, nó sẽ thêm (rất) một chút vào thời gian xử lý bắt tay và không phục vụ mục đích thực tế nào khác, đó là lý do Qualys đưa nó vào như một cảnh báo.

https://community.qualys.com/thread/11234

Có vẻ như một số người khác đã gặp phải vấn đề này - và vâng, có thể an toàn khi bỏ qua hướng dẫn cấu hình NameCheap trên mỗi liên kết:

Vâng đúng rồi. Đó không phải là một vấn đề theo nghĩa là neo không được phép, nhưng chứng chỉ bổ sung (không phục vụ mục đích) đang làm tăng độ trễ bắt tay. Một số người quan tâm về điều đó, đó là lý do tại sao cung cấp thông tin trong bài kiểm tra.