Skip to content

SSL Labs 在Chain issues出現Contains anchor該如何修復?

小編先說結論此問題不是安全風險,修復它的好處是微微的節省頻寬和提高性能,所以在安全的出發點上可以忽略“Contains anchor”警告。

問題說明

先說明為什麼修復此問題可以讓頻寬和速度提升,因TCP的建立到第一個封包開始傳輸的時間,相較整體傳輸的過程是較慢的,當在三向交握時候減少傳輸的量(只發送需要被驗證的資料),可在完成交握後盡快開始資料傳輸。

而驗證憑證的過程中,瀏覽器需要一張一張的往上驗證到確認憑證是可以被相信的。

此問題的告警意義為初始傳輸階段,只需發出有效的封包。

問題判別

根據看過的此問題的站台歸納出,SSL Lab 判別此問題的方式為,在憑證練上已驗證到可以辨識的 Root CA 根憑證後還發現其他無法認證或其他的 CA 憑證。

像下圖表示的內容 Server 發出一長串的憑證鍊,但到第三張憑證(藍框)就已經可以驗證完成,當第四張憑證(橘框)出現對於 SSL Lab來說就會出現Contains anchor此問題。

如果有需要可以透過 openssl CLI 指令獲得一樣的訊息,但小編覺得在Web 上看還快一些。

echo "" | openssl s_client -connect test.stomt.com:443 2>&1

參考來源:

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *