Wie kann ich Zertifikatstransparenz einrichten, wenn meine Zertifizierungsstelle dies nicht unterstützt?

12

Ich denke, viele von Ihnen haben tatsächlich von der Initiative zur Transparenz von Zertifikaten von Google gehört . Jetzt umfasst die Initiave ein öffentliches Protokoll aller von einer Zertifizierungsstelle ausgestellten Zertifikate. Da dies eine Menge Arbeit ist, haben es noch nicht alle Zertifizierungsstellen eingerichtet. Zum Beispiel hat StartCom bereits gesagt, dass es schwierig ist, es von ihrer Seite aus einzurichten, und eine ordnungsgemäße Einrichtung wird Monate dauern. In der Zwischenzeit werden alle EV-Zertifikate von Chrome auf "Standardzertifikate" "herabgestuft".

Nun wurde festgestellt, dass es drei Möglichkeiten gibt, die erforderlichen Datensätze bereitzustellen, um ein Downgrade zu verhindern:

  • x509v3-Erweiterungen, eindeutig nur für die Zertifizierungsstelle möglich
  • TLS-Erweiterung
  • OCSP-Heften

Jetzt denke ich, dass die zweite und die dritte (keine?) Interaktion von der ausstellenden Zertifizierungsstelle erfordern.

Also die Frage:
Kann ich Zertifikatstransparenzunterstützung bei meinem Apache-Webserver einrichten, wenn meine Zertifizierungsstelle dies nicht unterstützt, und wie kann ich dies tun, wenn dies möglich ist?

SEJPM
quelle
Ich hoffe das ist der richtige Ort, um das zu fragen, ich habe nichts im "wie" im Internet gefunden. Und ich würde sagen, dies gehört zu SF, da es darum geht, wie es für Server eingerichtet wird und nicht mit Workstations zusammenhängt (nicht für SU). Die Frage wäre in InfoSec nicht zum Thema (obwohl das "kann" dort zum Thema gehören könnte ...)
SEJPM
Ich kann Ihnen bei der Einrichtung der TLS-Erweiterung unter Apache 2.4 und nur mit OpenSSL> = 1.0.2 nach Bedarf helfen . Die TLS-Erweiterung kann nur dann ohne die Interaktion von CA implementiert werden, wenn StartCOM seine Stammzertifikate an die Protokolle von Google Aviator, Pilot und Rocketeer gesendet hat. OCSP-Heftung ERFORDERT CA-Interaktion (sie besitzen die OCSP-Server), sodass Sie dies nicht tun können. Einzige gangbare Option ist die TLS-Erweiterung mit vielen "Hacks" für Apache ...
Jason
2
@Jason, OpenSSL v1.0.2 (oder neuer) zu bekommen, kann in einer separaten Frage gestellt werden, wenn es dem Leser unklar ist. Wenn du kannst, schreibe bitte die Antwort auf die Einrichtung von Apache (2.4), um die TLS-Erweiterung zu verwenden, vorausgesetzt, es ist eine entsprechende openssl-Version verfügbar. Und geben Sie vielleicht eine kurze Erklärung, warum die OCSP-Heftung von der Zertifizierungsstelle etwas verlangt und was die Zertifizierungsstelle tun müsste, damit die Erweiterung funktioniert. Ich bin mir ziemlich sicher, dass Sie vielen Menschen mit dieser Antwort helfen werden :)
SEJPM
Für alle, die über diese Frage stolpern, bevor eine Antwort veröffentlicht wird: Dieser Blogeintrag beschreibt die Schritte für Apache
SEJPM
1
Zugegeben, es ist schade, ein paar Jahre SSL-Zertifikat zu verlieren, aber die einfachste Lösung könnte darin bestehen, die Box bei einem Anbieter neu zu zertifizieren, der Transparenz unterstützen kann . Es scheint, als müsste darauf hingewiesen werden.
Daniel Farrell

Antworten:

2

Es tut uns leid, aber Sie können dies nur tun, wenn Sie Ihre eigene Erweiterung für Certificate Transparency erstellen. Es gibt keine TLS-Erweiterungen für Zertifikatstransparenz in Apache 2.4.x und beide x509v3-Erweiterungen und das OCSP-Heften können nur von der Zertifizierungsstelle durchgeführt werden. Apache arbeitet jedoch daran, eine TLS-Erweiterung für Apache 2.5 zu bringen.

Daniel Baerwalde
quelle
Geht die Antwort von "plain apache-2.4" aus?
SEJPM
Das Hinzufügen eines Links zu einer offiziellen Quelle, die Ihre Ergebnisse bestätigt, würde diese Antwort verbessern.
Kasperd
SEJPM deckt alle Versionen von Apache 2.4.x ab.
Daniel Baerwalde
1

Heutzutage können Sie dies mit der TLS-Erweiterungsmethode und dem mod_ssl_ctApache-Modul tun .

Jaime Hablutzel
quelle