Myślę, że wielu z was słyszało o inicjatywie Przejrzystości certyfikatu Google . Teraz inicjatywa obejmuje rejestr publiczny wszystkich certyfikatów wydanych przez niektóre urzędy certyfikacji. Ponieważ jest to trochę pracy, nie wszystkie urzędy certyfikacji już to skonfigurowały. Na przykład StartCom powiedział już, że ciężko jest go skonfigurować z ich strony, a odpowiednia konfiguracja zajmie miesiące. W międzyczasie wszystkie certyfikaty EV są „obniżane” do „standardowych certyfikatów” przez Chrome.
Teraz stwierdzono, że istnieją trzy sposoby dostarczenia niezbędnych rejestrów, aby zapobiec obniżeniu oceny:
- Rozszerzenia x509v3, najwyraźniej możliwe tylko dla CA
- Rozszerzenie TLS
- Zszywanie OCSP
Teraz myślę, że drugi i trzeci wymagają interakcji (nie?) Ze strony wystawiającego CA.
Pytanie:
czy mogę skonfigurować obsługę przezroczystości certyfikatów na moim serwerze Apache, jeśli mój urząd certyfikacji tego nie obsługuje i jak mogę to zrobić, jeśli jest to możliwe?
Odpowiedzi:
Przepraszamy, ale nie możesz, chyba że utworzysz własne rozszerzenie dla przejrzystości certyfikatów. W Apache 2.4.x nie ma żadnych rozszerzeń TLS dla przezroczystości certyfikatów, a zarówno rozszerzenia x509v3, jak i zszywanie OCSP mogą być wykonywane tylko przez urząd certyfikacji. Jednak Apache pracuje nad wprowadzeniem rozszerzenia TLS dla Apache 2.5.
źródło
Obecnie można to zrobić za pomocą metody rozszerzenia TLS i
mod_ssl_ct
modułu Apache.źródło