¿Debería incluirse un certificado raíz en un paquete de CA?

Recientemente visité la Prueba del servidor SSL de Qualys para confirmar que un certificado Namecheap se instaló correctamente. Todo se veía bien excepto por un problema de cadena ("Contiene ancla"):

Parece que debería poder resolver este problema eliminando la raíz externa de CA AddTrust, que ya está presente en (¿la mayoría?) Almacenes de confianza. Sin embargo, las instrucciones de instalación de Namecheap indican explícitamente que este es uno de los tres certificados en su paquete CA:

• ComodoRSADomainValidationSecureServerCA.crt
• COMODORSAAddTrustCA.crt
• AddTrustExternalCARoot.crt

¿Es seguro ignorar las instrucciones de Namecheap y eliminar el certificado AddTrust External CA Root de la cadena? Si es así, ¿por qué Namecheap lo incluiría en primer lugar?

No sirve de nada incluirlo. Si el navegador o la biblioteca del cliente lo tiene como un certificado de confianza, entonces obviamente no necesita otra copia, si no lo tiene, incluirlo no hará que confíe en él.

No tengo idea de por qué Namecheap lo incluiría en sus instrucciones. ¿Abundancia de precaución? No es un error o una violación del cumplimiento de especificaciones incluirlo. Su sitio funcionará bien con el presente. Sin embargo, agregará (muy) un poco al tiempo de procesamiento del protocolo de enlace y no sirve para ningún otro propósito práctico, por lo que Qualys lo incluye como advertencia.

https://community.qualys.com/thread/11234

Parece que algunos otros han tenido este problema , y sí, podría ser seguro ignorar las instrucciones de configuración de NameCheap según el enlace:

Si eso es correcto. No es un problema en el sentido de que el ancla no esté permitida, sino que el certificado adicional (que no sirve para nada) está aumentando la latencia del apretón de manos. Algunas personas se preocupan por eso, por lo que proporcionan la información en la prueba.