web-dev-qa-db-ja.com

CAが証明書の透明性をサポートしていない場合、どうすれば証明書の透明性を設定できますか?

多くの方が実際に聞いたことがあると思います Googleの証明書の透明性 イニシアチブ。現在、イニシアチブには、一部のCAによって発行されたすべての証明書の公開ログが含まれています。これはある程度の作業であるため、すべてのCAがまだ設定しているわけではありません。たとえば StartCom すでに、彼らの側からセットアップするのは難しいと言っており、適切にセットアップするには数か月かかります。その間、すべてのEV証明書はChromeによって「標準証明書」に「ダウングレード」されます。

ここで、ダウングレードを防ぐために必要なレコードを提供する方法は3つあると述べられました。

  • x509v3拡張機能、明らかにCAでのみ可能
  • TLS拡張
  • OCSPステープリング

ここで、2番目と3番目は発行CAからの対話が必要(いいえ?)だと思います。

だから質問:
CAがサポートしていない場合、Apache Webサーバーで証明書の透明性サポートを設定できますか?可能であればどうすればよいですか?

12
SEJPM

申し訳ありませんが、証明書の透明性を独自に拡張しない限り、できません。 Apache 2.4.xには証明書の透明性のための既存のTLS拡張機能はなく、x509v3拡張機能とOCSPステープリングの両方は認証局によってのみ実行できます。ただし、ApacheはApache2.5のTLS拡張機能の導入に取り組んでいます。

2

今日では、TLS拡張メソッドとmod_ssl_ctApacheモジュールを使用してそれを行うことができます。

1
Jaime Hablutzel