Як я можу налаштувати прозорість сертифіката, якщо мій КА не підтримує його?

12

Я думаю, що багато хто з вас насправді чули про ініціативу Google щодо прозорості сертифікатів . Тепер ініціація включає публічний журнал усіх сертифікатів, виданих деяким CA. Оскільки це певна робота, ще не всі КЗ її створили. Наприклад, StartCom вже говорив, що важко налаштувати його з їхнього боку, і на правильне налаштування вони знадобляться місяцями. Тим часом усі сертифікати EV Chrome зменшуються до "стандартних сертифікатів".

Тепер було заявлено, що існують три способи надання необхідних записів для запобігання пониженню рейтингу:

  • розширення x509v3, очевидно, можливі лише для ЦА
  • Розширення TLS
  • Зшивання OCSP

Тепер я думаю, що другий і третій вимагають (ні?) Взаємодії від видаючого ЦЗ.

Отже, питання:
чи можу я встановити підтримку прозорості сертифікатів за допомогою свого веб-сервера apache, якщо мій офіційний центр не підтримує його і як це зробити, якщо це можливо?

debian  ssl-certificate  apache-2.4  certificate-authority 
СЕЙПМ
джерело
Я сподіваюся, що це правильне місце, щоб запитати про це, я не знайшов нічого в інтернеті "як". І я б сказав, що це належить до SF, оскільки мова йде про те, як налаштувати його на сервери і не пов’язане з робочими станціями (не для SU). Питання було б поза темою на InfoSec (хоча "можна" може бути темою там ...)
SEJPM
Я можу допомогти вам налаштувати розширення TLS на Apache 2.4 та лише з OpenSSL> = 1.0.2 за потребою. Розширення TLS МОЖЕ бути реалізовано без взаємодії з ЦА лише тоді, коли StartCOM подав свої кореневі сертифікати до журналів Google Aviator, Pilot, Rocketeer. З'єднання OCSP вимагає взаємодії CA (вони володіють серверами OCSP), тому ви не можете цього зробити. Єдиний життєздатний варіант розширення TLS з багатьма "хаками" для Apache ...
Jason
2
@Jason, отримання OpenSSL v1.0.2 (або новішої версії) можна задати окремим запитанням, якщо читачеві це незрозуміло. Якщо ви можете, будь ласка, продовжте та опублікуйте відповідь про те, як настроїти apache (2.4) для використання розширення TLS, припускаючи, що є відповідна версія opensl. І, можливо, дайте коротке пояснення, чому зшивання OCSP вимагає від ЦА щось робити і що ЦА повинен зробити, щоб розширення працювало. Я впевнений, що ви допоможете багатьом людям з цією відповіддю :)
SEJPM
для тих, хто спотикається над цим питанням до того, як буде розміщена відповідь: Цей запис у блозі описує кроки для apache
SEJPM
1
Дозволено, відмовляється втратити кілька років сертифікату SSL, але найпростішим рішенням може бути просто повторне підтвердження коробки з постачальником, який може підтримувати прозорість. Здається, це потрібно було вказати.
Даніель Фаррелл

Відповіді:

2

Вибачте, але ви не можете, якщо не зробите власне розширення для прозорості сертифікатів. Немає існуючих розширень TLS для прозорості сертифікатів у Apache 2.4.x, а розширення x509v3 та зшивання OCSP може здійснюватися лише органом сертифікації. Однак Apache працює над створенням розширення TLS для Apache 2.5.

Даніель Бервальде
джерело
Чи передбачає відповідь "звичайний апач-2,4"?
SEJPM
Додавання посилання на офіційне джерело, що підтверджує ваші висновки, покращило б цю відповідь.
kasperd
SEJPM, він охоплює всі версії apache 2.4.x.
Даніель Бервальде
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.