小編先說結論此問題不是安全風險,修復它的好處是微微的節省頻寬和提高性能,所以在安全的出發點上可以忽略“Contains anchor”警告。
問題說明
先說明為什麼修復此問題可以讓頻寬和速度提升,因TCP的建立到第一個封包開始傳輸的時間,相較整體傳輸的過程是較慢的,當在三向交握時候減少傳輸的量(只發送需要被驗證的資料),可在完成交握後盡快開始資料傳輸。
而驗證憑證的過程中,瀏覽器需要一張一張的往上驗證到確認憑證是可以被相信的。
此問題的告警意義為初始傳輸階段,只需發出有效的封包。
問題判別
根據看過的此問題的站台歸納出,SSL Lab 判別此問題的方式為,在憑證練上已驗證到可以辨識的 Root CA 根憑證後還發現其他無法認證或其他的 CA 憑證。
像下圖表示的內容 Server 發出一長串的憑證鍊,但到第三張憑證(藍框)就已經可以驗證完成,當第四張憑證(橘框)出現對於 SSL Lab來說就會出現Contains anchor此問題。
如果有需要可以透過 openssl CLI 指令獲得一樣的訊息,但小編覺得在Web 上看還快一些。
echo "" | openssl s_client -connect test.stomt.com:443 2>&1
