Comment configurer la transparence du certificat si mon autorité de certification ne le prend pas en charge?

12

Je pense que beaucoup d'entre vous ont entendu parler de l' initiative de transparence des certificats de Google . Maintenant, l'initiave implique un journal public de tous les certificats émis par une autorité de certification. Comme il s'agit d'un travail considérable, toutes les autorités de certification ne l'ont pas encore configuré. Par exemple, StartCom a déjà dit qu'il était difficile de le configurer de leur côté et qu'une configuration appropriée leur prendrait des mois. Entre-temps, tous les certificats EV sont "rétrogradés" en "certificats standard" par Chrome.

Maintenant, il a été déclaré qu'il existe trois façons de fournir les enregistrements nécessaires pour empêcher la rétrogradation:

  • extensions x509v3, clairement possibles uniquement pour le CA
  • Extension TLS
  • Agrafage OCSP

Maintenant, je pense que le deuxième et le troisième nécessitent (non?) Une interaction de l'autorité de certification émettrice.

Donc, la question:
puis-je configurer la prise en charge de la transparence des certificats avec mon serveur Web Apache si mon autorité de certification ne le prend pas en charge et comment le faire si c'est possible?

SEJPM
la source
J'espère que c'est le bon endroit pour poser cette question, je n'ai rien trouvé sur le "comment" sur Internet. Et je dirais que cela appartient à SF car il s'agit de savoir comment le configurer pour les serveurs et non lié aux postes de travail (pas pour SU). La question serait hors sujet sur InfoSec (bien que le "peut" puisse y être sur le sujet ...)
SEJPM
Je peux vous aider à configurer l'extension TLS sur Apache 2.4 et uniquement avec OpenSSL> = 1.0.2 comme requis. L'extension TLS PEUT être mise en œuvre sans l'interaction de l'autorité de certification si et seulement si StartCOM a soumis ses certificats racine aux journaux Google Aviator, Pilot et Rocketeer. L'agrafage OCSP NÉCESSITE une interaction CA (ils sont propriétaires des serveurs OCSP), vous ne pouvez donc pas le faire. Seule option viable l'extension TLS avec de nombreux "hacks" à Apache ...
Jason
2
@Jason, obtenir OpenSSL v1.0.2 (ou plus récent) peut être posé dans une question distincte si cela n'est pas clair pour le lecteur. Si vous le pouvez, veuillez aller de l'avant et publier la réponse sur la façon de configurer apache (2.4) pour utiliser l'extension TLS en supposant qu'une version openssl appropriée soit disponible. Et peut-être expliquer brièvement pourquoi l'agrafage OCSP nécessite que l'autorité de certification fasse quelque chose et ce qu'elle devrait faire pour que l'extension fonctionne. Je suis sûr que vous aiderez beaucoup de gens avec cette réponse :)
SEJPM
pour toute personne trébuchant sur cette question avant de
publier
1
accordé, ça craint de perdre quelques années de certificat SSL, mais la solution la plus simple pourrait être de recertifier la boîte avec un fournisseur qui peut prendre en charge la transparence. Il semble qu'il fallait le souligner.
Daniel Farrell

Réponses:

2

Désolé mais vous ne pouvez pas sauf si vous créez votre propre extension pour la transparence des certificats. Il n'y a pas d'extensions TLS existantes pour la transparence des certificats dans Apache 2.4.x et les extensions x509v3 et l'agrafage OCSP ne peuvent être effectuées que par l'autorité de certification. Cependant, Apache travaille à apporter une extension TLS pour Apache 2.5.

Daniel Baerwalde
la source
La réponse suppose-t-elle "plain apache-2.4"?
SEJPM
L'ajout d'un lien vers une source officielle confirmant vos résultats améliorerait cette réponse.
kasperd
SEJPM, il couvre toutes les versions d'apache 2.4.x.
Daniel Baerwalde
1

De nos jours, vous pouvez le faire avec la méthode d'extension TLS et le mod_ssl_ctmodule Apache.

Jaime Hablutzel
la source