我正在使用Godaddy证书,通常我会将证书连成一致并制成链式证书
cat www.example.com.crt sf_bundle.crt > chained.cert
在我的Nginx.conf中,
ssl_certificate chained.cert
在浏览器中,我看到链如下:
www.example.com
Starfield Secure Certification Authority
Starfield Technologies Inc.
一切都很好,一切正常.
The lowest hanging fruit in terms of reducing the size of these certificates was to remove the root certificates from the certificate bundle. There's no reason to include these since they should already be present in browsers and,even if they're not,the browser won't trust them.
那么,这是否意味着我可以删除Starfield Technologies Inc.而不会影响我的SSL证书的有效性,我可以获得更好的性能?
[1] http://blog.cloudflare.com/what-we-just-did-to-make-ssl-even-faster
解决方法
这取决于哪种实体签署了您的证书.
如果它是由根CA直接签名的话,那么使用您自己的Web服务器重新提供这样的根CA几乎没有意义.
但是,如果它是由中间CA颁发的,并且您没有将其捆绑在您的证书中,那么您冒着让某些用户收到有关证书被破坏的警告的风险,如果他们之前从未见过这样的中间CA .
https://superuser.com/a/524234/180573
如何知道你在哪种情况?您可以使用http://www.digicert.com/help/?host=进行测试
