Je pense que beaucoup d'entre vous ont entendu parler de l' initiative de transparence des certificats de Google . Maintenant, l'initiave implique un journal public de tous les certificats émis par une autorité de certification. Comme il s'agit d'un travail considérable, toutes les autorités de certification ne l'ont pas encore configuré. Par exemple, StartCom a déjà dit qu'il était difficile de le configurer de leur côté et qu'une configuration appropriée leur prendrait des mois. Entre-temps, tous les certificats EV sont "rétrogradés" en "certificats standard" par Chrome.
Maintenant, il a été déclaré qu'il existe trois façons de fournir les enregistrements nécessaires pour empêcher la rétrogradation:
- extensions x509v3, clairement possibles uniquement pour le CA
- Extension TLS
- Agrafage OCSP
Maintenant, je pense que le deuxième et le troisième nécessitent (non?) Une interaction de l'autorité de certification émettrice.
Donc, la question:
puis-je configurer la prise en charge de la transparence des certificats avec mon serveur Web Apache si mon autorité de certification ne le prend pas en charge et comment le faire si c'est possible?
Réponses:
Désolé mais vous ne pouvez pas sauf si vous créez votre propre extension pour la transparence des certificats. Il n'y a pas d'extensions TLS existantes pour la transparence des certificats dans Apache 2.4.x et les extensions x509v3 et l'agrafage OCSP ne peuvent être effectuées que par l'autorité de certification. Cependant, Apache travaille à apporter une extension TLS pour Apache 2.5.
la source
De nos jours, vous pouvez le faire avec la méthode d'extension TLS et le
mod_ssl_ct
module Apache.la source