我想你们当中许多人实际上已经听说过Google的“证书透明性”计划。现在,该初始化涉及一个CA颁发的所有证书的公共日志。由于这是一项繁重的工作,因此并非所有的CA都已设置好它。例如,StartCom已经说过很难从他们的角度进行设置,而正确的设置将花费几个月的时间。同时,Chrome将所有EV证书“降级”为“标准证书”。
现在,有人说可以通过三种方式提供必要的记录以防止降级:
- x509v3扩展,显然仅适用于CA
- TLS扩展
- OCSP装订
现在,我认为第二个和第三个需要(不是?)与发行CA的交互。
那么问题来了:
如果我的CA不支持,我可以通过我的apache网络服务器设置证书透明度支持吗?
我希望这是问这个问题的正确地方,我在互联网上的“方法”一无所获。我想说这属于SF,因为它是关于如何为服务器设置它,而不是与工作站(不是SU)相关的。该问题将在InfoSec上脱颖而出(尽管“ can”可能在那里……)
—
SEJPM,2015年
我可以帮助您在Apache 2.4上设置TLS扩展,并且仅根据需要使用OpenSSL> = 1.0.2。且仅当StartCOM已将其根证书提交给Google Aviator,Pilot和Rocketeer日志时,才可以在没有CA交互的情况下实现TLS扩展。OCSP装订需要CA交互(它们拥有OCSP服务器),因此您不能这样做。唯一可行的选择是TLS扩展,它具有对Apache的许多“ hacks” ...
—
Jason
@Jason,如果读者不清楚OpenSSL v1.0.2(或更高版本),可以在另一个问题中提出。如果可以,请继续并发布有关如何设置apache(2.4)以使用TLS扩展的答案,前提是可以使用适当的openssl版本。也许简短说明一下为什么OCSP装订需要CA做某事,以及CA为扩展工作才能做什么。我很确定您会用这个答案帮助很多人:)
—
SEJPM
对于在发布任何答案之前在此问题上遇到困难的任何人:此博客文章描述了apache的步骤
—
SEJPM,2015年
理所当然,吸失去了几年的SSL证书,但最简单的解决方案可能只是重新证书与供应商的盒子可以支持透明度。似乎需要指出。
—
丹尼尔·法瑞尔