Bagaimana saya bisa mengatur Transparansi Sertifikat jika CA saya tidak mendukungnya?

12

Saya pikir banyak dari Anda telah benar-benar mendengar inisiatif Transparansi Sertifikat Google . Sekarang inisive melibatkan log publik dari semua sertifikat yang dikeluarkan oleh beberapa CA. Karena ini adalah sejumlah pekerjaan, belum semua CA mengaturnya. Sebagai contoh, StartCom sudah mengatakan bahwa sulit untuk mengaturnya dari sisi mereka dan pengaturan yang tepat akan memakan waktu berbulan-bulan. Sementara itu, semua sertifikat EV "diturunkan" menjadi "sertifikat standar" oleh Chrome.

Sekarang dinyatakan bahwa ada tiga cara untuk menyediakan catatan yang diperlukan untuk mencegah penurunan peringkat:

  • ekstensi x509v3, jelas hanya mungkin untuk CA
  • Ekstensi TLS
  • Stapel OCSP

Sekarang saya berpikir bahwa yang kedua dan ketiga memerlukan (tidak?) Interaksi dari CA yang mengeluarkan.

Jadi pertanyaannya:
Dapatkah saya mengatur dukungan transparansi sertifikat dengan server web apache saya jika CA saya tidak mendukungnya dan bagaimana saya bisa melakukannya jika memungkinkan?

debian ssl-certificate apache-2.4 certificate-authority SEJPM
sumber
Saya harap ini adalah tempat yang tepat untuk bertanya, saya tidak menemukan apa pun di "bagaimana" di internet. Dan saya akan mengatakan ini milik SF karena ini tentang cara mengaturnya untuk server dan tidak terkait dengan workstation (bukan untuk SU). Pertanyaannya akan di luar topik di InfoSec (meskipun "bisa" mungkin di-topik di sana ...)
SEJPM
Saya dapat membantu Anda mengatur ekstensi TLS di Apache 2.4 dan hanya dengan OpenSSL> = 1.0.2 seperti yang diperlukan. Ekstensi TLS DAPAT diterapkan tanpa interaksi CA jika dan hanya jika StartCOM telah mengirimkan sertifikat root ke Google Aviator, Pilot, Rocketeer log. Stapel OCSP MEMBUTUHKAN interaksi CA (mereka memiliki server OCSP) sehingga Anda tidak dapat melakukan itu. Hanya opsi ekstensi TLS yang layak dengan banyak "peretasan" ke Apache ...
Jason
2
@Jason, mendapatkan OpenSSL v1.0.2 (atau lebih baru) dapat ditanyakan dalam pertanyaan terpisah jika tidak jelas bagi pembaca. Jika Anda bisa, silakan lanjutkan dan kirimkan jawaban tentang cara mengatur apache (2.4) hingga menggunakan ekstensi TLS dengan asumsi versi openssl yang sesuai tersedia. Dan mungkin memberikan penjelasan singkat mengapa stapel OCSP mengharuskan CA untuk melakukan sesuatu dan apa yang harus dilakukan CA agar ekstensi bekerja. Saya cukup yakin Anda akan membantu banyak orang dengan jawaban ini :)
SEJPM
untuk siapa saja yang tersandung pada pertanyaan ini sebelum jawaban diposting: Entri blog ini menjelaskan langkah-langkah untuk apache
SEJPM
1
memang, sangat disayangkan kehilangan beberapa tahun sertifikat SSL, tetapi solusi termudah mungkin hanya mengesahkan ulang kotak dengan penyedia yang dapat mendukung transparansi. Sepertinya itu perlu ditunjukkan.
Daniel Farrell

Jawaban:

2

Maaf tetapi Anda tidak bisa kecuali Anda membuat ekstensi Anda sendiri untuk Transparansi Sertifikat. Tidak ada ekstensi TLS yang ada untuk transparansi sertifikat di Apache 2.4.x dan ekstensi x509v3 dan stapel OCSP hanya dapat dilakukan oleh Otoritas Sertifikat. Namun Apache berupaya membawa ekstensi TLS untuk Apache 2.5.

Daniel Baerwalde
sumber
Apakah jawabannya berasumsi "plain apache-2.4"?
SEJPM
Menambahkan tautan ke sumber resmi yang mengonfirmasi temuan Anda akan meningkatkan jawaban ini.
kasperd
SEJPM, ini mencakup semua versi apache 2.4.x.
Daniel Baerwalde
1

Saat ini, Anda bisa melakukannya dengan metode ekstensi TLS dan mod_ssl_ctmodul Apache.

Jaime Hablutzel
sumber