Jak skonfigurować przezroczystość certyfikatu, jeśli mój urząd certyfikacji go nie obsługuje?

12

Myślę, że wielu z was słyszało o inicjatywie Przejrzystości certyfikatu Google . Teraz inicjatywa obejmuje rejestr publiczny wszystkich certyfikatów wydanych przez niektóre urzędy certyfikacji. Ponieważ jest to trochę pracy, nie wszystkie urzędy certyfikacji już to skonfigurowały. Na przykład StartCom powiedział już, że ciężko jest go skonfigurować z ich strony, a odpowiednia konfiguracja zajmie miesiące. W międzyczasie wszystkie certyfikaty EV są „obniżane” do „standardowych certyfikatów” przez Chrome.

Teraz stwierdzono, że istnieją trzy sposoby dostarczenia niezbędnych rejestrów, aby zapobiec obniżeniu oceny:

  • Rozszerzenia x509v3, najwyraźniej możliwe tylko dla CA
  • Rozszerzenie TLS
  • Zszywanie OCSP

Teraz myślę, że drugi i trzeci wymagają interakcji (nie?) Ze strony wystawiającego CA.

Pytanie:
czy mogę skonfigurować obsługę przezroczystości certyfikatów na moim serwerze Apache, jeśli mój urząd certyfikacji tego nie obsługuje i jak mogę to zrobić, jeśli jest to możliwe?

SEJPM
źródło
Mam nadzieję, że jest to właściwe miejsce, aby o to zapytać. Nic nie znalazłem w „jak” w Internecie. I powiedziałbym, że to należy do SF, jak to jest w przybliżeniu taka jak go skonfigurować dla serwerów i stacji roboczych nie związane (nie do SU). Pytanie byłoby nie na temat na InfoSec (chociaż „może” może być tam na temat ...)
SEJPM
Mogę pomóc w konfiguracji rozszerzenia TLS na Apache 2.4 i tylko z OpenSSL> = 1.0.2 zgodnie z wymaganiami. Rozszerzenie TLS MOŻE zostać zaimplementowane bez interakcji urzędu certyfikacji tylko wtedy, gdy StartCOM przesłał swoje certyfikaty główne do dzienników Google Aviator, Pilot, Rocketeer. Zszywanie OCSP WYMAGA interakcji z CA (są właścicielami serwerów OCSP), więc nie możesz tego zrobić. Jedyną możliwą opcją jest rozszerzenie TLS z wieloma „hackami” do Apache ...
Jason
2
@Jason, uzyskanie OpenSSL v1.0.2 (lub nowszego) może być zadane w osobnym pytaniu, jeśli nie jest to jasne dla czytelnika. Jeśli możesz, śmiało i opublikuj odpowiedź, w jaki sposób ustawić apache (2.4), aby używać rozszerzenia TLS, zakładając, że dostępna jest odpowiednia wersja openssl. I może krótko wyjaśnić, dlaczego zszywanie OCSP wymaga, aby CA coś zrobił i co musiałby zrobić CA, aby rozszerzenie działało. Jestem prawie pewien, że pomożesz wielu ludziom z tą odpowiedzią :)
SEJPM
dla każdego, kto natknie się na to pytanie, zanim jakakolwiek odpowiedź zostanie opublikowana: ten wpis na blogu opisuje kroki apache
SEJPM
1
przyznane, szkoda stracić kilka lat certyfikatu SSL, ale najłatwiejszym rozwiązaniem może być po prostu ponowne certyfikacja urządzenia u dostawcy, który może wspierać przejrzystość. Wygląda na to, że należy to podkreślić.
Daniel Farrell,

Odpowiedzi:

2

Przepraszamy, ale nie możesz, chyba że utworzysz własne rozszerzenie dla przejrzystości certyfikatów. W Apache 2.4.x nie ma żadnych rozszerzeń TLS dla przezroczystości certyfikatów, a zarówno rozszerzenia x509v3, jak i zszywanie OCSP mogą być wykonywane tylko przez urząd certyfikacji. Jednak Apache pracuje nad wprowadzeniem rozszerzenia TLS dla Apache 2.5.

Daniel Baerwalde
źródło
Czy odpowiedź zakłada „zwykły apache-2.4”?
SEJPM
Dodanie linku do oficjalnego źródła potwierdzającego twoje ustalenia poprawiłoby tę odpowiedź.
kasperd
SEJPM, obejmuje wszystkie wersje apache 2.4.x.
Daniel Baerwalde
1

Obecnie można to zrobić za pomocą metody rozszerzenia TLS i mod_ssl_ctmodułu Apache.

Jaime Hablutzel
źródło