Как я могу настроить прозрачность сертификата, если мой центр сертификации не поддерживает его?

12

Я думаю, что многие из вас действительно слышали об инициативе Google по обеспечению прозрачности сертификатов . Теперь initiave включает в себя открытый журнал всех сертификатов, выпущенных каким-либо CA. Поскольку это некоторый объем работы, еще не все центры сертификации его настроили. Например, StartCom уже сказал, что это трудно настроить с их стороны, и правильная настройка займет у них месяцы. Между тем все сертификаты EV "понижены" до "стандартных сертификатов" Chrome.

Теперь было заявлено, что существует три способа предоставления необходимых записей для предотвращения понижения:

  • Расширения x509v3, очевидно, возможно только для CA
  • Расширение TLS
  • Сшивание OCSP

Теперь я думаю, что второе и третье требуют (нет?) Взаимодействия со стороны выдающего ЦС.

Итак, вопрос:
могу ли я установить поддержку прозрачности сертификатов с помощью моего веб-сервера apache, если мой CA не поддерживает его, и как я могу это сделать, если это возможно?

debian ssl-certificate apache-2.4 certificate-authority SEJPM
источник
Я надеюсь, что это правильное место, чтобы спросить об этом, я не нашел ничего о том, «как» в Интернете. И я бы сказал, что это относится к SF, так как оно касается того, как настроить его для серверов, а не для рабочих станций (не для SU). Вопрос будет не по теме на InfoSec (хотя «может» может быть и по теме…)
SEJPM
Я могу помочь вам настроить расширение TLS на Apache 2.4 и только с OpenSSL> = 1.0.2, как требуется. Расширение TLS МОЖЕТ быть реализовано без взаимодействия CA, если и только если StartCOM отправил свои корневые сертификаты в журналы Google Aviator, Pilot, Rocketeer. Сшивание OCSP ТРЕБУЕТ CA-взаимодействия (им принадлежат серверы OCSP), поэтому вы не можете этого сделать. Единственно возможный вариант расширения TLS с множеством «хаков» для Apache ...
Джейсон
2
@Jason, получить OpenSSL v1.0.2 (или новее) можно в отдельном вопросе, если читателю это непонятно. Если вы можете, пожалуйста, опубликуйте ответ о том, как настроить apache (2.4) для использования расширения TLS, при условии, что доступна соответствующая версия openssl. И, возможно, кратко объясните, почему для сшивания OCSP требуется, чтобы ЦС что-то делал, и что ЦС должен был бы сделать, чтобы расширение работало. Я уверен, что вы поможете многим людям с этим ответом :)
SEJPM
для тех, кто спотыкается над этим вопросом до того, как будет опубликован какой-либо ответ: В этой записи блога описываются шаги для apache
SEJPM
1
Предоставлено, это отстой, чтобы потерять несколько лет сертификата SSL, но самое простое решение может быть просто повторно подтвердить сертификат с поставщиком, который может поддерживать прозрачность. Похоже, на это нужно было указать.
Даниэль Фаррелл

Ответы:

2

Извините, но вы не можете, если вы не сделаете свое собственное расширение для прозрачности сертификата. В Apache 2.4.x не существует существующих расширений TLS для прозрачности сертификатов, и оба расширения x509v3 и сшивание OCSP могут выполняться только центром сертификации. Однако Apache работает над расширением TLS для Apache 2.5.

Даниэль Бервальде
источник
Предполагается ли в ответе «обычный apache-2.4»?
SEJPM
Добавление ссылки на официальный источник, подтверждающее ваши выводы, улучшит этот ответ.
kasperd
SEJPM, он охватывает все версии apache 2.4.x.
Даниэль Бервальде
1

В настоящее время вы можете сделать это с помощью метода расширения TLS и mod_ssl_ctмодуля Apache.

Хайме Хаблутцель
источник