皆さんの多くは、実際にGoogleの証明書の透明性に関するイニシアチブを聞いたことがあると思います。現在、イニシエーブには、何らかのCAによって発行されたすべての証明書の公開ログが含まれています。これはある程度の作業であるため、すべてのCAがまだ設定しているわけではありません。たとえば、StartComは既に、彼らの側から設定するのは難しいと言っていましたが、適切な設定には数か月かかります。それまでの間、すべてのEV証明書はChromeによって「標準の証明書」に「ダウングレード」されます。
ダウングレードを防ぐために必要な記録を提供する方法は3つあると述べられました。
- x509v3拡張、CAにのみ明らかに可能
- TLS拡張
- OCSPステープル
現在、2番目と3番目は発行元CAからの対話を必要としています(いいえ?)。
質問:
CAがサポートしていない場合、Apache Webサーバーで証明書の透過性サポートを設定できますか?また、可能な場合はどうすればよいですか?
これがこれを尋ねるのにふさわしい場所であることを望みます。インターネットの「方法」には何も見つかりませんでした。そして、これは、ワークステーションに関係なく(SUではなく)サーバーにセットアップする方法に関するものであるため、SFに属していると思います。質問は、
—
InfoSecでは
必要に応じてOpenSSL> = 1.0.2でのみ、 Apache 2.4でTLS拡張機能をセットアップできます。StartCOMがルート証明書をGoogle Aviator、Pilot、Rocketeerのログに送信した場合にのみ、CAの対話なしでTLS拡張を実装できます。OCSPステープリングにはCA相互作用(OCSPサーバーを所有している)が必要なので、それを行うことはできません。Apacheに多くの「ハック」を行うTLS拡張機能の唯一の実行可能なオプション
—
Jason
@JasonがOpenSSL v1.0.2(またはそれ以降)を入手する場合、読者に明確でない場合は別の質問で尋ねることができます。可能であれば、適切なopensslバージョンが利用可能であると想定して、TLS拡張を使用するようにapache(2.4)を設定する方法に関する回答を投稿してください。そして、OCSPホチキス留めがCAに何かをする必要がある理由と、拡張機能が機能するためにCAがしなければならないことを簡単に説明してください。この答えで多くの人を助けることになると確信しています:)
—
SEJPM
答えが投稿される前にこの質問につまずいた人のために:このブログのエントリは、apache
—
SEJPMの
確かに、数年分のSSL証明書を失ってしまいますが、最も簡単な解決策は、透明性をサポートできるプロバイダーでボックスを再証明書することです。指摘する必要があるようです。
—
ダニエルファレル