CAがサポートしていない場合、どのように証明書の透明性を設定できますか?


12

皆さんの多くは、実際にGoogleの証明書の透明性に関するイニシアチブを聞いたことがあると思います。現在、イニシエーブには、何らかのCAによって発行されたすべての証明書の公開ログが含まれています。これはある程度の作業であるため、すべてのCAがまだ設定しているわけではありません。たとえば、StartComは既に、彼らの側から設定するのは難しいと言っていましたが、適切な設定には数か月かかります。それまでの間、すべてのEV証明書はChromeによって「標準の証明書」に「ダウングレード」されます。

ダウングレードを防ぐために必要な記録を提供する方法は3つあると述べられました。

  • x509v3拡張、CAにのみ明らかに可能
  • TLS拡張
  • OCSPステープル

現在、2番目と3番目は発行元CAからの対話を必要としています(いいえ?)。

質問:
CAがサポートしていない場合、Apache Webサーバーで証明書の透過性サポートを設定できますか?また、可能な場合はどうすればよいですか?


これがこれを尋ねるのにふさわしい場所であることを望みます。インターネットの「方法」には何も見つかりませんでした。そして、これは、ワークステーションに関係なく(SUではなく)サーバーにセットアップする方法に関するものであるため、SFに属していると思います。質問は、
InfoSecでは

必要に応じてOpenSSL> = 1.0.2でのみ、 Apache 2.4でTLS拡張機能をセットアップできます。StartCOMがルート証明書をGoogle Aviator、Pilot、Rocketeerのログに送信した場合にのみ、CAの対話なしでTLS拡張を実装できます。OCSPステープリングにはCA相互作用(OCSPサーバーを所有している)が必要なので、それを行うことはできません。Apacheに多くの「ハック」を行うTLS拡張機能の唯一の実行可能なオプション
Jason

2
@JasonがOpenSSL v1.0.2(またはそれ以降)を入手する場合、読者に明確でない場合は別の質問で尋ねることができます。可能であれば、適切なopensslバージョンが利用可能であると想定して、TLS拡張を使用するようにapache(2.4)を設定する方法に関する回答を投稿してください。そして、OCSPホチキス留めがCAに何かをする必要がある理由と、拡張機能が機能するためにCAがしなければならないことを簡単に説明してください。この答えで多くの人を助けることになると確信しています:)
SEJPM

答えが投稿される前にこの質問につまずいた人のために:このブログのエントリは、apache
SEJPMの

1
確かに、数年分のSSL証明書を失ってしまいますが、最も簡単な解決策は、透明性サポートできるプロバイダーでボックスを再証明書することです。指摘する必要があるようです。
ダニエルファレル

回答:


2

申し訳ありませんが、証明書の透明性のために独自の拡張機能を作成しない限り、できません。Apache 2.4.xには証明書の透過性のための既存のTLS拡張はなく、x509v3拡張とOCSPステープリングの両方は認証局によってのみ実行できます。ただし、ApacheはApache 2.5のTLS拡張機能の提供に取り組んでいます。


答えは「プレーンなapache-2.4」と仮定していますか
SEJPM

調査結果を確認する公式ソースへのリンクを追加すると、この回答が改善されます。
カスペルド

SEJPM、それはApache 2.4.xのすべてのバージョンをカバーしています。
ダニエルベアヴァルデ

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.