Estoy instalando SSL y tengo dudas sobre si debo concatenar el certificado del sitio, el certificado intermedio y el certificado raíz o solo el certificado del sitio y el certificado intermedio.
Estoy instalando SSL y tengo dudas sobre si debo concatenar el certificado del sitio, el certificado intermedio y el certificado raíz o solo el certificado del sitio y el certificado intermedio.
TL; DR Concatena todos menos la raíz.
Solo se requiere concatenar el certificado del sitio con el certificado intermedio. Si hay más de un certificado intermedio, debe concatenar todos ellos.
El "certificado raíz" es el último certificado de la cadena; es el último porque está autofirmado y ningún otro certificado en el mundo podría verificarlo.
La concatenación de la raíz funcionará, pero no se recomienda . El software del lado del cliente correctamente implementado (navegador web) nunca podrá confiar en una raíz que recibió de su sitio. Es debe ignorarlo. Tiene todas las raíces válidas en su almacén de confianza y no sirve de nada confiar en una raíz que se distribuye a través de una conexión insegura desde un sitio aleatorio.
Si un usuario desea excluir su sitio de la validación de certificados, tampoco le sirve agregar su certificado root al almacén de confianza. Es más que probable que el usuario no sepa que abre la puerta a casi todas sus conexiones SSL (excepto las fijadas). Solo deben confiar en su certificado de sitio (también conocido como el certificado de hoja).
El popular sitio de prueba ssllabs.com emite una pequeña advertencia en caso de que se concatene una raíz, describiendo la conexión con algo como "contiene el ancla".
Lea otras preguntas en las etiquetas tls