¿Cómo puedo configurar la transparencia del certificado si mi CA no lo admite?

12

Creo que muchos de ustedes realmente han oído hablar de la iniciativa de Transparencia de certificados de Google . Ahora la iniciativa involucra un registro público de todos los certificados emitidos por alguna CA. Como se trata de una cantidad de trabajo, aún no todas las CA lo han configurado. Por ejemplo, StartCom ya dijo que es difícil configurarlo desde su lado y que una configuración adecuada les llevará meses. Mientras tanto, todos los certificados EV están "degradados" a "certificados estándar" por Chrome.

Ahora se dijo que hay tres formas de proporcionar los registros necesarios para evitar la degradación:

  • Extensiones x509v3, claramente solo posibles para la CA
  • Extensión TLS
  • Grapado OCSP

Ahora creo que el segundo y el tercero requieren interacción (¿no?) De la CA emisora.

Entonces, la pregunta:
¿puedo configurar el soporte de transparencia de certificados con mi servidor web apache si mi CA no lo admite y cómo puedo hacerlo si es posible?

SEJPM
fuente
Espero que este sea el lugar correcto para preguntar esto, no he encontrado nada en el "cómo" en Internet. Y diría que esto pertenece a SF, ya que se trata de cómo configurarlo para servidores y no relacionado con estaciones de trabajo (no para SU). La pregunta estaría fuera de tema en InfoSec (aunque la "lata" puede estar en el tema allí ...)
SEJPM
Puedo ayudarlo a configurar la extensión TLS en Apache 2.4 y solo con OpenSSL> = 1.0.2 según sea necesario. La extensión TLS PUEDE implementarse sin la interacción de CA si y solo si StartCOM ha enviado sus certificados raíz a los registros de Google Aviator, Pilot, Rocketeer. El engrapado OCSP REQUIERE la interacción CA (son dueños de los servidores OCSP), por lo que no puede hacerlo. La única opción viable es la extensión TLS con muchos "hacks" a Apache ...
Jason
2
@Jason, puede obtener OpenSSL v1.0.2 (o más reciente) en una pregunta separada si no está claro para el lector. Si puede, continúe y publique la respuesta sobre cómo configurar apache (2.4) para usar la extensión TLS, suponiendo que esté disponible una versión de OpenSL adecuada. Y tal vez dé una breve explicación de por qué el engrapado OCSP requiere que la CA haga algo y lo que la CA tendría que hacer para que la extensión funcione. Estoy bastante seguro de que ayudarás a mucha gente con esta respuesta :)
SEJPM
para cualquiera que se encuentre con esta pregunta antes de que se publique una respuesta: Esta entrada del blog describe los pasos para apache
SEJPM
1
concedido, apesta perder unos años de cert SSL, pero la solución más fácil podría ser volver a certificar la caja con un proveedor que pueda apoyar la transparencia. Parece que necesitaba ser señalado.
Daniel Farrell

Respuestas:

2

Lo sentimos, pero no puede a menos que haga su propia extensión para la Transparencia de certificados. No hay extensiones TLS existentes para la transparencia del certificado en Apache 2.4.xy ambas extensiones x509v3 y grapado OCSP solo pueden ser realizadas por la Autoridad de certificación. Sin embargo, Apache está trabajando para traer una extensión TLS para Apache 2.5.

Daniel Baerwalde
fuente
¿La respuesta asume "simple apache-2.4"?
SEJPM
Agregar un enlace a una fuente oficial que confirme sus hallazgos mejoraría esta respuesta.
Kasperd
SEJPM, cubre todas las versiones de apache 2.4.x.
Daniel Baerwalde
1

Hoy en día, podría hacerlo con el método de extensión TLS y el mod_ssl_ctmódulo Apache.

Jaime Hablutzel
fuente