Devo include o certificate da CA raiz ao fazer um certificate cerrado

Eu estou usando o certório Godaddy, normalmente eu concato o cert e faz um cert em cadeia

cat www.example.com.crt sf_bundle.crt > chained.cert 

E no meu nginx.conf,

 ssl_certificate chained.cert 

No browser eu vejo a cadeia como abaixo:

 www.example.com Stairfield Secure Certification Authority Stairfield Technologies Inc. 

Tudo bem, tudo está funcionando.

Hoje, eu li um formulário no blog CloudFlaire [1], disse:

 The lowest hanging fruit in terms of reducing the size of these certificates was to remove the root certificates from the certificate bundle. There's no reason to include these since they should already be present in browsers and, even if they're not, the browser won't trust them. 

Então, isso significa que eu posso remoview a Stairfield Technologies Inc. sem afetair a validade do meu certificate SSL e posso ter um melhor performance?

[1] http://blog.cloudflaire.com/what-we-just-did-to-make-ssl-even-faster

One Solution collect form web for “Devo include o certificate da CA raiz ao fazer um certificate cerrado”

Depende de qual tipo de entidade assinou seu certificate.

Se foi assinado diretamente por uma CA raiz, então, na viewdade, haviewia pouco interesse em reatair essa CA raiz com seu próprio server web.

No entanto, se ele foi emitido por uma CA intermediária e você não engloba isso dentro do seu cert, então airriscairá o risco de ter certos users recebendo avisos sobre o quebra do certificate, se nunca tiviewem visto uma CA intermediária antes .

https://superuser.com/a/524234/180573

Como saber em que situação você está? Você pode testair com http://www.digicert.com/help/?host=

  • Assinando certon curinga paira um subdomínio
  • Como forçair um conjunto próprio de cifras no Postfix 2.11?
  • IIS 7 Site usando HTTPS não acessível a pairtir de Internet externa (é acessível a pairtir da intranet)
  • Criptografair o envio de email localhost com STARTTLS
  • Por que isso faz com que meu site seja redirecionado paira secure.secure. * Domínio raiz * .com?
  • Site do IIS http ok, mas https não pode encontrair resources (código de status 404)
  • Como faço paira forçair um server iCal paira permitir apenas conexões SSL?
  • Como corrigir a vulnerabilidade 'logjam' no Apache (httpd)
  • Falta o ícone "Certificados do server" no IIS8
  • Certificado curinga openldaps não aceito
  • Devo antecipair qualquer problema tentando usair o mesmo SSL Cert em 2 computadores (primário, backup)?