Penso che molti di voi abbiano effettivamente sentito parlare dell'iniziativa per la trasparenza dei certificati di Google . Ora l'inizializzazione comporta un registro pubblico di tutti i certificati emessi da alcune autorità di certificazione. Dato che si tratta di un certo lavoro, non tutte le CA lo hanno ancora impostato. Ad esempio, StartCom ha già detto che è difficile configurarlo dalla propria parte e una corretta installazione richiederà loro mesi. Nel frattempo tutti i certificati EV vengono "declassati" in "certificati standard" da Chrome.
Ora è stato affermato che ci sono tre modi per fornire i documenti necessari per prevenire il downgrade:
- estensioni x509v3, chiaramente possibili solo per la CA.
- Estensione TLS
- Pinzatura OCSP
Ora penso che il secondo e il terzo richiedano (no?) L'interazione da parte della CA emittente.
Quindi la domanda:
posso impostare il supporto per la trasparenza dei certificati con il mio server web apache se la mia CA non lo supporta e come posso farlo se è possibile?