ฉันจะตั้งค่าความโปร่งใสของใบรับรองได้อย่างไรหาก CA ของฉันไม่รองรับ

ฉันคิดว่าคุณหลายคนเคยได้ยินเกี่ยวกับการริเริ่มการรับรองความโปร่งใสของGoogle ตอนนี้ initiave เกี่ยวข้องกับบันทึกสาธารณะของใบรับรองทั้งหมดที่ออกโดย CA บางแห่ง เนื่องจากนี่เป็นงานจำนวนหนึ่ง CAs บางตัวเท่านั้นที่ไม่ได้ตั้งค่า ตัวอย่างเช่นStartComกล่าวแล้วว่าเป็นการยากที่จะตั้งค่าจากด้านข้างของพวกเขาและการตั้งค่าที่เหมาะสมจะใช้เวลาเป็นเดือน ในระหว่างนี้ใบรับรอง EV ทั้งหมดจะถูก "ลดระดับ" เป็น "ใบรับรองมาตรฐาน" โดย Chrome

ตอนนี้มีการระบุว่ามีสามวิธีในการจัดทำเร็กคอร์ดที่จำเป็นเพื่อป้องกันการลดระดับ:

ส่วนขยาย x509v3 ซึ่งเป็นไปได้สำหรับ CA เท่านั้น
ส่วนขยาย TLS
เย็บเล่ม OCSP

ตอนนี้ฉันคิดว่าส่วนที่สองและสามจำเป็นต้องมีการโต้ตอบ (ไม่?) จาก CA ที่ออก

ดังนั้นคำถาม:
ฉันสามารถตั้งค่าการสนับสนุนความโปร่งใสของใบรับรองกับเว็บเซิร์ฟเวอร์ apache ของฉันได้หรือไม่ถ้า CA ของฉันไม่รองรับและฉันจะทำอย่างไรถ้าเป็นไปได้

— SEJPM
แหล่งที่มา

ฉันหวังว่านี่คือสถานที่ที่เหมาะสมในการถามสิ่งนี้ฉันไม่พบสิ่งใดใน "วิธีการ" บนอินเทอร์เน็ต และฉันจะบอกว่านี่เป็นของ SF เนื่องจากเป็นเรื่องเกี่ยวกับวิธีตั้งค่าสำหรับเซิร์ฟเวอร์และไม่เกี่ยวข้องกับเวิร์กสเตชัน (ไม่ใช่สำหรับ SU) คำถามจะปิดหัวข้อใน InfoSec (แม้ว่า "สามารถ" อาจมีในหัวข้อ ... )

— SEJPM

ฉันสามารถช่วยคุณตั้งค่าส่วนขยาย TLS บน Apache 2.4 และเฉพาะกับ OpenSSL> = 1.0.2ตามต้องการ ส่วนขยาย TLS สามารถใช้งานได้โดยไม่ต้องมีการโต้ตอบของ CA หาก StartCOM ได้ส่งใบรับรองหลักไปยังบันทึกของ Google Aviator, Pilot, Rocketeer การเย็บเล่ม OCSP ต้องการการโต้ตอบกับ CA (พวกเขาเป็นเจ้าของเซิร์ฟเวอร์ OCSP) ดังนั้นคุณจึงไม่สามารถทำได้ เพียงตัวเลือกที่ทำงานส่วนขยาย TLS กับหลาย "แฮ็ก" เพื่อ Apache ...

— เจสัน

@ Jason รับ OpenSSL v1.0.2 (หรือใหม่กว่า) สามารถถามคำถามแยกต่างหากได้หากไม่ชัดเจนต่อผู้อ่าน หากเป็นไปได้โปรดไปข้างหน้าและโพสต์คำตอบเกี่ยวกับวิธีตั้งค่า apache (2.4) ขึ้นเพื่อใช้ส่วนขยาย TLS โดยสมมติว่าเป็นรุ่น openssl ที่เหมาะสม และอาจให้คำอธิบายสั้น ๆ ว่าเหตุใดการเย็บเล่ม OCSP นั้นต้องใช้ CA ในการทำอะไรและสิ่งที่ CA ต้องทำเพื่อให้ส่วนขยายใช้งานได้ ผมค่อนข้างมั่นใจว่าคุณจะช่วยให้ผู้คนจำนวนมากที่มีคำตอบนี้ :)

— SEJPM

สำหรับทุกคนที่สะดุดคำถามนี้ก่อนที่จะโพสต์คำตอบใด ๆ : รายการบล็อกนี้อธิบายขั้นตอนสำหรับ apache

— SEJPM

ได้รับอนุญาตจะสูญเสียใบรับรอง SSL ไม่กี่ปี แต่วิธีแก้ปัญหาที่ง่ายที่สุดอาจเป็นการรับรองกล่องกับผู้ให้บริการที่สามารถรองรับความโปร่งใสได้ ดูเหมือนว่ามันจะต้องมีการชี้ให้เห็น

— Daniel Farrell

ขออภัย แต่คุณไม่สามารถทำได้เว้นแต่คุณจะทำส่วนขยายของคุณเองเพื่อความโปร่งใสของใบรับรอง ไม่มีส่วนขยาย TLS ที่มีอยู่สำหรับความโปร่งใสของใบรับรองใน Apache 2.4.x และทั้งส่วนขยาย x509v3 และการเย็บเล่ม OCSP สามารถทำได้โดย Certificate Authority เท่านั้น Apache กำลังพัฒนาส่วนขยาย TLS สำหรับ Apache 2.5

— Daniel Baerwalde
แหล่งที่มา

คำตอบสมมติว่า "plain apache-2.4" หรือไม่?

— SEJPM

การเพิ่มลิงค์ไปยังแหล่งข้อมูลทางการยืนยันการค้นพบของคุณจะช่วยปรับปรุงคำตอบนี้

— kasperd

SEJPM ครอบคลุม apache 2.4.x ทุกรุ่น

— Daniel Baerwalde

ทุกวันนี้คุณสามารถทำได้ด้วยวิธีการขยาย TLS และmod_ssl_ctโมดูล Apache

— Jaime Hablutzel
แหล่งที่มา