Como posso configurar a transparência do certificado se minha autoridade de certificação não suportar?

12

Acho que muitos de vocês já ouviram falar da iniciativa de Transparência de certificados do Google . Agora, o initiave envolve um log público de todos os certificados emitidos por alguma CA. Como isso é uma quantidade de trabalho, nem todas as autoridades de certificação o configuraram ainda. Por exemplo, a StartCom já disse que é difícil configurá-lo do lado deles e que uma configuração adequada levará meses. Enquanto isso, todos os certificados EV são "rebaixados" para "certificados padrão" pelo Chrome.

Agora, foi declarado que existem três maneiras de fornecer os registros necessários para impedir o downgrade:

  • extensões x509v3, claramente apenas possíveis para a CA
  • Extensão TLS
  • Grampeamento OCSP

Agora, acho que o segundo e o terceiro exigem (não?) Interação da CA de emissão.

Portanto, a pergunta:
Posso configurar o suporte à transparência de certificados com meu servidor da Web apache se minha CA não o suportar e como posso fazê-lo, se possível?

debian ssl-certificate apache-2.4 certificate-authority SEJPM
fonte
Espero que este seja o lugar certo para perguntar isso, não encontrei nada sobre o "como" na internet. E eu diria que isso pertence ao SF, pois é sobre como configurá-lo para servidores e não relacionado a estações de trabalho (não para SU). A pergunta seria fora de tópico no InfoSec (embora o "can" possa estar no tópico lá ...) #
SEJPM
Eu posso ajudá-lo a configurar a extensão TLS no Apache 2.4 e apenas com o OpenSSL> = 1.0.2, conforme necessário. A extensão TLS PODE ser implementada sem a interação da CA se e somente se o StartCOM tiver enviado seus certificados raiz aos logs do Google Aviator, Pilot, Rocketeer. O grampeamento OCSP EXIGE a interação da CA (eles possuem os servidores OCSP), portanto você não pode fazer isso. Única opção viável a extensão TLS com muitos "hacks" para Apache ...
Jason
2
@ Jason, a obtenção do OpenSSL v1.0.2 (ou mais recente) pode ser feita em uma pergunta separada, se não estiver claro para o leitor. Se puder, vá em frente e poste a resposta sobre como configurar o apache (2.4) para usar a extensão TLS, assumindo que uma versão openssl apropriada esteja disponível. E talvez dê uma breve explicação sobre por que o grampeamento OCSP exige que a CA faça alguma coisa e o que a CA teria que fazer para que a extensão funcionasse. Tenho certeza que você vai ajudar um monte de gente com esta resposta :)
SEJPM
para quem se deparar com essa pergunta antes de qualquer resposta ser postada: Esta entrada de blog descreve as etapas para o apache
23-15 de SEJPM
1
concedido, suga para perder alguns anos de certificado SSL, mas a solução mais fácil pode ser apenas para re-cert a caixa com um provedor que pode apoiar a transparência. Parece que precisava ser apontado.
Daniel Farrell

Respostas:

2

Desculpe, mas você não pode, a menos que faça sua própria extensão para Transparência de certificado. Não há extensões TLS existentes para transparência de certificado no Apache 2.4.xe as extensões x509v3 e o grampeamento OCSP podem ser feitos apenas pela Autoridade de Certificação. O Apache está trabalhando para trazer uma extensão TLS para o Apache 2.5.

Daniel Baerwalde
fonte
A resposta assume "simples apache-2.4"?
SEJPM
Adicionar um link a uma fonte oficial confirmando suas descobertas melhoraria esta resposta.
kasperd
SEJPM, abrange todas as versões do apache 2.4.x.
Daniel Baerwalde 13/01
1

Atualmente, você pode fazer isso com o método de extensão TLS e o mod_ssl_ctmódulo Apache.

Jaime Hablutzel
fonte