Как я могу настроить Прозрачность Сертификата, если мой CA не поддерживает ее?
Я думаю, что многие из Вас на самом деле услышали об инициативе Прозрачности Сертификата Google. Теперь initiave включает общедоступный журнал всех сертификатов, выпущенных некоторыми Приблизительно. Поскольку это - некоторый объем работы, не, вся АВАРИЯ настроила его все же. Например, StartCom уже заявил вот именно трудно для установки его с их стороны, и надлежащий набор будет их занимать месяцы. Тем временем все сертификаты EV "понижены" до "стандартных сертификатов" Chrome.
Теперь было указано, что существует три способа обеспечить необходимые записи для предотвращения понижения:
- расширения x509v3, явно только возможные к CA
- Расширение TLS
- Сшивание OCSP
Теперь я думаю, что второе и третье требуют (нет?) взаимодействие от издания Приблизительно
Так вопрос:
Я могу настроить поддержку прозрачности сертификата со своим апачским веб-сервером, если мой CA не поддерживает его и как я могу сделать так, если это возможно?
Извините, но вы не сможете этого сделать, если не создадите собственное расширение для прозрачности сертификата. В Apache 2.4.x нет существующих расширений TLS для прозрачности сертификатов, и оба расширения x509v3 и сшивание OCSP могут выполняться только центром сертификации. Однако Apache работает над расширением TLS для Apache 2.5.
В настоящее время это можно сделать с помощью метода расширения TLS и модуля Apache mod_ssl_ct .