Làm cách nào tôi có thể thiết lập Độ trong suốt của Chứng chỉ nếu CA của tôi không hỗ trợ?

12

Tôi nghĩ rằng nhiều bạn đã thực sự nghe nói về sáng kiến Minh bạch Chứng chỉ của Google . Bây giờ initiave liên quan đến nhật ký công khai của tất cả các chứng chỉ do một số CA. Vì đây là một số lượng công việc, không phải tất cả các CA đã thiết lập nó. Ví dụ, StartCom đã nói rằng thật khó để thiết lập nó từ phía họ và một thiết lập phù hợp họ sẽ mất vài tháng. Trong thời gian đó, tất cả các chứng chỉ EV đều bị "hạ cấp" thành "chứng chỉ tiêu chuẩn" của Chrome.

Bây giờ nó đã được tuyên bố rằng có ba cách cung cấp các hồ sơ cần thiết để ngăn chặn hạ cấp:

  • tiện ích mở rộng x509v3, rõ ràng chỉ có thể với CA
  • Gia hạn TLS
  • Đóng ghim OCSP

Bây giờ tôi nghĩ rằng thứ hai và thứ ba yêu cầu tương tác (không?) Từ CA.

Vì vậy, câu hỏi:
Tôi có thể thiết lập hỗ trợ minh bạch chứng chỉ với máy chủ web apache của mình không nếu CA của tôi không hỗ trợ và tôi có thể làm như thế nào nếu có thể?

debian  ssl-certificate  apache-2.4  certificate-authority 
THÁNG 9
nguồn
Tôi hy vọng đây là nơi thích hợp để hỏi điều này, tôi đã không tìm thấy gì trên "làm thế nào" trên internet. Và tôi muốn nói rằng điều này thuộc về SF vì nó là về cách thiết lập nó cho các máy chủ và không liên quan đến máy trạm (không dành cho SU). Câu hỏi sẽ lạc đề trên Infecec (mặc dù "có thể" có thể là chủ đề ở đó ...)
SEJPM
Tôi có thể giúp bạn thiết lập tiện ích mở rộng TLS trên Apache 2.4 và chỉ với OpenSSL> = 1.0.2 theo yêu cầu. Tiện ích mở rộng TLS CÓ THỂ được triển khai mà không cần tương tác của CA nếu và chỉ khi StartCOM đã gửi chứng chỉ gốc của nó tới nhật ký Google Aviator, Pilot, Rocketeer. OCSP ghim YÊU CẦU Tương tác CA (họ sở hữu các máy chủ OCSP) để bạn không thể làm điều đó. Chỉ có tùy chọn khả thi, tiện ích mở rộng TLS có nhiều "hack" cho Apache ...
Jason
2
@Jason, nhận OpenSSL v1.0.2 (hoặc mới hơn) có thể được hỏi trong một câu hỏi riêng nếu nó không rõ ràng với người đọc. Nếu bạn có thể, vui lòng tiếp tục và đăng câu trả lời về cách đặt apache (2.4) lên để sử dụng tiện ích mở rộng TLS giả sử có sẵn phiên bản openssl thích hợp. Và có thể đưa ra một lời giải thích ngắn gọn tại sao việc dập ghim OCSP yêu cầu CA phải làm gì đó và CA sẽ phải làm gì để tiện ích mở rộng hoạt động. Tôi khá chắc chắn rằng bạn sẽ giúp được rất nhiều người với câu trả lời này :)
SEJPM
cho bất cứ ai vấp phải câu hỏi này trước khi bất kỳ câu trả lời nào được đăng: Mục blog này mô tả các bước cho apache
SEJPM
1
được cấp, hút để mất một vài năm chứng chỉ SSL, nhưng giải pháp đơn giản nhất có thể chỉ là chứng nhận lại hộp với nhà cung cấp có thể hỗ trợ tính minh bạch. Có vẻ như nó cần phải được chỉ ra.
Daniel Farrell

Câu trả lời:

2

Xin lỗi nhưng bạn không thể trừ khi bạn tự tạo tiện ích mở rộng cho Chứng nhận minh bạch. Không có tiện ích mở rộng TLS hiện tại để minh bạch chứng chỉ trong Apache 2.4.x và cả tiện ích mở rộng x509v3 và dập ghim OCSP chỉ có thể được Cơ quan cấp chứng chỉ thực hiện. Apache đang làm việc để mang lại một phần mở rộng TLS cho Apache 2.5.

Daniel Baerwalde
nguồn
Có phải câu trả lời là "apache-2.4" không?
SEJPM
Thêm một liên kết đến một nguồn chính thức xác nhận phát hiện của bạn sẽ cải thiện câu trả lời này.
kasperd
SEJPM, nó bao gồm tất cả các phiên bản của apache 2.4.x.
Daniel Baerwalde
1

Ngày nay, bạn có thể làm điều đó với phương thức mở rộng TLS và mod_ssl_ctmô-đun Apache.

Jaime Hablutzel
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.