Saya pikir banyak dari Anda telah benar-benar mendengar inisiatif Transparansi Sertifikat Google . Sekarang inisive melibatkan log publik dari semua sertifikat yang dikeluarkan oleh beberapa CA. Karena ini adalah sejumlah pekerjaan, belum semua CA mengaturnya. Sebagai contoh, StartCom sudah mengatakan bahwa sulit untuk mengaturnya dari sisi mereka dan pengaturan yang tepat akan memakan waktu berbulan-bulan. Sementara itu, semua sertifikat EV "diturunkan" menjadi "sertifikat standar" oleh Chrome.
Sekarang dinyatakan bahwa ada tiga cara untuk menyediakan catatan yang diperlukan untuk mencegah penurunan peringkat:
- ekstensi x509v3, jelas hanya mungkin untuk CA
- Ekstensi TLS
- Stapel OCSP
Sekarang saya berpikir bahwa yang kedua dan ketiga memerlukan (tidak?) Interaksi dari CA yang mengeluarkan.
Jadi pertanyaannya:
Dapatkah saya mengatur dukungan transparansi sertifikat dengan server web apache saya jika CA saya tidak mendukungnya dan bagaimana saya bisa melakukannya jika memungkinkan?
Jawaban:
Maaf tetapi Anda tidak bisa kecuali Anda membuat ekstensi Anda sendiri untuk Transparansi Sertifikat. Tidak ada ekstensi TLS yang ada untuk transparansi sertifikat di Apache 2.4.x dan ekstensi x509v3 dan stapel OCSP hanya dapat dilakukan oleh Otoritas Sertifikat. Namun Apache berupaya membawa ekstensi TLS untuk Apache 2.5.
sumber
Saat ini, Anda bisa melakukannya dengan metode ekstensi TLS dan
mod_ssl_ct
modul Apache.sumber