Come posso impostare la trasparenza dei certificati se la mia CA non lo supporta?


12

Penso che molti di voi abbiano effettivamente sentito parlare dell'iniziativa per la trasparenza dei certificati di Google . Ora l'inizializzazione comporta un registro pubblico di tutti i certificati emessi da alcune autorità di certificazione. Dato che si tratta di un certo lavoro, non tutte le CA lo hanno ancora impostato. Ad esempio, StartCom ha già detto che è difficile configurarlo dalla propria parte e una corretta installazione richiederà loro mesi. Nel frattempo tutti i certificati EV vengono "declassati" in "certificati standard" da Chrome.

Ora è stato affermato che ci sono tre modi per fornire i documenti necessari per prevenire il downgrade:

  • estensioni x509v3, chiaramente possibili solo per la CA.
  • Estensione TLS
  • Pinzatura OCSP

Ora penso che il secondo e il terzo richiedano (no?) L'interazione da parte della CA emittente.

Quindi la domanda:
posso impostare il supporto per la trasparenza dei certificati con il mio server web apache se la mia CA non lo supporta e come posso farlo se è possibile?


Spero che questo sia il posto giusto per chiederlo, non ho trovato nulla sul "come" su Internet. E direi che questo appartiene a SF in quanto riguarda il modo in cui configurarlo per i server e non correlato alle workstation (non per SU). La domanda sarebbe fuori tema su InfoSec (anche se la "lattina" potrebbe essere in tema lì ...)
SEJPM

Posso aiutarti a configurare l'estensione TLS su Apache 2.4 e solo con OpenSSL> = 1.0.2 come richiesto. L'estensione TLS PUO 'essere implementata senza l'interazione di CA se e solo se StartCOM ha inviato i suoi certificati di root ai registri di Google Aviator, Pilot, Rocketeer. La pinzatura OCSP RICHIEDE l'interazione CA (possiedono i server OCSP), quindi non è possibile farlo. L'unica opzione valida l'estensione TLS con molti "hack" per Apache ...
Jason

2
@Jason, ottenere OpenSSL v1.0.2 (o più recente) può essere posto in una domanda separata se non è chiaro per il lettore. Se puoi, vai avanti e pubblica la risposta su come impostare apache (2.4) per usare l'estensione TLS supponendo che sia disponibile una versione di openssl appropriata. E forse dare una breve spiegazione del motivo per cui la pinzatura OCSP richiede alla CA di fare qualcosa e cosa la CA dovrebbe fare affinché l'estensione funzioni. Sono abbastanza sicuro che aiuterai molte persone con questa risposta :)
SEJPM

per chiunque inciampi su questa domanda prima che venga pubblicata una risposta: questo post di blog descrive i passaggi per apache
SEJPM

1
concesso, fa schifo perdere qualche anno di certificato SSL, ma la soluzione più semplice potrebbe essere quella di riaccertare la scatola con un provider in grado di supportare la trasparenza. Sembra che debba essere sottolineato.
Daniel Farrell,

Risposte:


2

Siamo spiacenti ma non è possibile a meno che non si crei la propria estensione per la trasparenza dei certificati. Non esistono estensioni TLS esistenti per la trasparenza dei certificati in Apache 2.4.x e entrambe le estensioni x509v3 e la pinzatura OCSP possono essere eseguite solo dall'autorità di certificazione. Apache sta lavorando per portare un'estensione TLS per Apache 2.5.


La risposta assume "plain apache-2.4"?
SEJPM

L'aggiunta di un collegamento a una fonte ufficiale che conferma i risultati ottenuti migliorerebbe questa risposta.
Kasperd,

SEJPM, copre tutte le versioni di apache 2.4.x.
Daniel Baerwalde,

1

Al giorno d'oggi, potresti farlo con il metodo di estensione TLS e il mod_ssl_ctmodulo Apache.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.