我正在使用Godaddy证书,通常我会连接证书,并成为一个链式证书
cat www.example.com.crt sf_bundle.crt > chained.cert 而在我的nginx.conf中,
ssl_certificate chained.cert
在浏览器中,我看到如下链:
www.example.com Starfield Secure Certification Authority Starfield Technologies Inc.
这很好,一切正常。
今天,我读了一篇博客文章CloudFlare [1],它说:
The lowest hanging fruit in terms of reducing the size of these certificates was to remove the root certificates from the certificate bundle. There's no reason to include these since they should already be present in browsers and, even if they're not, the browser won't trust them.
那么,这是否意味着我可以移除Starfield Technologies Inc.而不会影响我的SSL证书的有效性,并且我可以获得更好的性能?
[1] http://blog.cloudflare.com/what-we-just-did-to-make-ssl-even-faster
这取决于什么样的实体已经签署了你的证书。
如果它是由一个根CA直接签名的,那么事实上在你自己的networking服务器上重新提供这个根CA是没有意义的。
但是,如果它是由中间的CA颁发的,并且您没有将其捆绑在您的证书中,那么您可能冒着某些用户收到关于证书被破坏的警告的风险,如果他们以前从未见过这样的中间CA 。
https://superuser.com/a/524234/180573
如何知道你在哪个位置? 您可以使用http://www.digicert.com/help/?host=进行testing