CA'm desteklemiyorsa Sertifika Şeffaflığı'nı nasıl ayarlayabilirim?

12

Sanırım birçoğunuz Google'ın Sertifika Şeffaflığı girişimini gerçekten duydunuz . Şimdi initiave, bazı CA tarafından verilen tüm sertifikaların herkese açık bir kaydını tutar. Bu bir miktar iş olduğundan, tüm CA'lar henüz kurmadı. Örneğin, StartCom zaten yanlarından kurmanın zor olduğunu ve düzgün bir kurulumun aylar süreceğini söyledi. Bu arada, tüm EV sertifikaları Chrome tarafından "standart sertifikalara" düşürülmüştür.

Şimdi, sürüm düşürmeyi önlemek için gerekli kayıtları sağlamanın üç yolu olduğu belirtildi:

  • x509v3 uzantıları, yalnızca CA için açıkça mümkündür
  • TLS uzantısı
  • OCSP zımbalama

Şimdi sanırım ikinci ve üçüncü, veren CA'dan (hayır?) Etkileşim gerektiriyor.

Yani soru:
CA'm desteklemiyorsa apache web sunucumla sertifika şeffaflığı desteği ayarlayabilir miyim ve mümkünse bunu nasıl yapabilirim?

debian  ssl-certificate  apache-2.4  certificate-authority 
SEJPM
kaynak
Umarım bu sormak için doğru yer, internette "nasıl" bir şey buldum. Ve bu iş sunucuları (SU için değil) ile ilgili değil, sunucular için nasıl kurulum hakkında olduğu gibi SF ait olduğunu söyleyebilirim . Soru InfoSec'de konu dışı olacaktır ("can" orada konu üzerinde olabilir ...)
SEJPM
TLS uzantısını Apache 2.4 ve yalnızca OpenSSL> = 1.0.2 ile gerektiği gibi ayarlamanıza yardımcı olabilirim . TLS uzantısı, yalnızca StartCOM kök sertifikalarını Google Aviator, Pilot, Rocketeer günlüklerine gönderdiyse CA'nın etkileşimi olmadan uygulanabilir. OCSP zımbalama CA-etkileşimi GEREKTİRİR (OCSP sunucularına sahiptirler), böylece bunu yapamazsınız. Sadece uygulanabilir seçenek Apache için birçok "hack" ile TLS uzantısı ...
Jason
2
@Jason, OpenSSL v1.0.2'yi (veya daha yenisini) almak, okuyucu için belirsiz olup olmadığını ayrı bir soruda sorulabilir. Mümkünse, lütfen devam edin ve uygun bir openssl sürümü mevcut olduğu varsayılarak TLS uzantısını kullanmak için apache'nin (2.4) nasıl ayarlanacağına dair cevabı gönderin. Ve belki de OCSP zımbalama işleminin neden CA'nın bir şey yapmasını gerektirdiğine ve uzantının çalışması için CA'nın ne yapması gerektiğine dair kısa bir açıklama yapın. Bu cevapla birçok insana yardım
edeceğinizden eminim
herhangi bir cevap gönderilmeden önce bu soru üzerine tökezleyen herkes için: Bu blog girişi apache için adımları açıklar
SEJPM
1
verilmişse, birkaç yıllık SSL sertifikasını kaybetmek berbat, ancak en kolay çözüm, kutuyu şeffaflığı destekleyebilecek bir sağlayıcıyla yeniden sertifikalandırmak olabilir . Belirtilmesi gerektiği anlaşılıyor.
Daniel Farrell

Yanıtlar:

2

Maalesef, Sertifika Şeffaflığı için kendi uzantınızı oluşturmadıkça yapamazsınız. Apache 2.4.x'te sertifika saydamlığı için mevcut TLS uzantısı yoktur ve hem x509v3 uzantıları hem de OCSP zımbalama yalnızca Sertifika Yetkilisi tarafından yapılabilir. Apache, Apache 2.5 için bir TLS uzantısı getirmeye çalışıyor.

Daniel Baerwalde
kaynak
Cevap "düz apache-2.4" varsayıyor mu?
SEJPM
Bulgularınızı doğrulayan resmi bir kaynağa bağlantı eklemek bu cevabı geliştirecektir.
kasperd
SEJPM, apache 2.4.x'in tüm sürümlerini kapsar.
Daniel Baerwalde
1

Bugünlerde bunu TLS uzantı yöntemi ve mod_ssl_ctApache modülü ile yapabilirsiniz.

Jaime Hablutzel
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.