यदि मेरा CA इसका समर्थन नहीं करता है तो मैं प्रमाणपत्र पारदर्शिता कैसे स्थापित कर सकता हूं?

12

मुझे लगता है कि आप में से कई लोगों ने वास्तव में Google के सर्टिफिकेट ट्रांसपेरेंसी पहल के बारे में सुना है । अब initiave में कुछ CA द्वारा जारी किए गए सभी प्रमाणपत्रों का एक सार्वजनिक लॉग शामिल है। जैसा कि यह कुछ राशि है, सभी सीए ने इसे अभी तक स्थापित नहीं किया है। उदाहरण के लिए, StartCom ने पहले ही कहा कि इसे अपनी तरफ से सेट करना मुश्किल है और एक उचित सेट अप करने में उन्हें महीनों लगेंगे। इस बीच क्रोम द्वारा सभी ईवी प्रमाण पत्र "डाउनग्रेडेड" से "मानक प्रमाणपत्र" हैं।

अब यह कहा गया कि अपग्रेडिंग को रोकने के लिए नेकसरी रिकॉर्ड प्रदान करने के तीन तरीके हैं:

  • x509v3 एक्सटेंशन, स्पष्ट रूप से केवल CA के लिए ही संभव है
  • टीएलएस का विस्तार
  • OCSP स्टेपलिंग

अब मुझे लगता है कि जारी करने वाले सीए से दूसरी और तीसरी की आवश्यकता है (नहीं?)।

तो सवाल:
क्या मैं अपने अपाचे वेबसर्वर के साथ प्रमाणपत्र पारदर्शिता समर्थन सेट कर सकता हूं यदि मेरा सीए इसका समर्थन नहीं करता है और यदि यह संभव है तो मैं ऐसा कैसे कर सकता हूं?

debian  ssl-certificate  apache-2.4  certificate-authority 
SEJPM
स्रोत
मुझे उम्मीद है कि यह पूछने के लिए यह सही जगह है, मुझे इंटरनेट पर "कैसे" पर कुछ भी नहीं मिला है। और मैं कहूंगा कि यह एसएफ से संबंधित है क्योंकि यह सर्वरों के लिए इसे कैसे स्थापित किया जाए और कार्यस्थानों से संबंधित नहीं है (एसयू के लिए नहीं)। InfoSec पर सवाल ऑफ-टॉपिक होगा (हालाँकि "ऑन-टॉपिक ऑन-टॉपिक हो सकता है ...)
SEJPM
मैं आपको Apache 2.4 पर TLS एक्सटेंशन सेट करने और केवल आवश्यकतानुसार ओपनएसएसएल> = 1.0.2 के साथ मदद कर सकता हूं । TLS एक्सटेंशन को CA के इंटरैक्शन के बिना लागू किया जा सकता है यदि और केवल अगर StartCOM ने Google एविएटर, पायलट, रॉकएटर लॉग्स में अपने रूट सर्टिफिकेट जमा किए हों। OCSP स्टेपलिंग REQUIRES CA- इंटरैक्शन (वे OCSP सर्वर के मालिक हैं) ताकि आप ऐसा न कर सकें। अपाचे में कई "हैक" के साथ केवल व्यवहार्य विकल्प टीएलएस विस्तार ...
जेसन
2
@ जैसन, ओपनएसएसएल v1.0.2 (या नया) प्राप्त करना एक अलग प्रश्न में पूछा जा सकता है अगर यह पाठक के लिए अस्पष्ट हो। यदि आप कर सकते हैं, तो कृपया आगे बढ़ें और टीएलएस एक्सटेंशन का उपयोग करने के लिए अपाचे (2.4) सेट करने के तरीके पर उत्तर पोस्ट करें, यह मानते हुए कि एक उचित ओपनसेल संस्करण उपलब्ध है। और शायद एक छोटा स्पष्टीकरण दें कि OCSP स्टेपलिंग को CA को कुछ करने की आवश्यकता क्यों है और कार्य करने के लिए CA को विस्तार के लिए क्या करना होगा। मुझे पूरा यकीन है कि आप इस जवाब के साथ बहुत से लोगों की मदद करेंगे :)
SEJPM
किसी भी उत्तर को पोस्ट करने से पहले इस सवाल पर ठोकर खाने वाले के लिए: इस ब्लॉग प्रविष्टि में अपाचे के लिए चरणों का वर्णन है
SEJPM
1
दी गई, एसएसएल प्रमाणपत्र के कुछ वर्षों के लिए बेकार हो जाता है, लेकिन सबसे आसान समाधान केवल प्रदाता के साथ बॉक्स को फिर से प्रमाणित करना हो सकता है जो पारदर्शिता का समर्थन कर सकता है। लगता है जैसे इसे इंगित करने की आवश्यकता है।
डैनियल फैरेल

जवाबों:

2

क्षमा करें, लेकिन आप तब तक नहीं कर सकते जब तक आप सर्टिफिकेट ट्रांसपेरेंसी के लिए अपना विस्तार नहीं करते। Apache 2.4.x में प्रमाणपत्र पारदर्शिता के लिए कोई मौजूदा TLS एक्सटेंशन नहीं हैं और X509v3 एक्सटेंशन और OCSP स्टेपलिंग दोनों केवल सर्टिफिकेट अथॉरिटी द्वारा किए जा सकते हैं। अपाचे हालांकि Apache 2.5 के लिए TLS एक्सटेंशन लाने पर काम कर रहा है।

डैनियल बैरवाल्ड
स्रोत
क्या उत्तर "सादे अपाचे-2.4" को मानता है?
SEJPM
अपने निष्कर्षों की पुष्टि करने वाले आधिकारिक स्रोत से लिंक जोड़ने से इस उत्तर में सुधार होगा।
कास्परड
SEJPM, यह अपाचे 2.4.x के सभी संस्करणों को कवर करता है।
डैनियल बेरवालदे
1

आजकल, आप इसे टीएलएस विस्तार विधि और mod_ssl_ctअपाचे मॉड्यूल के साथ कर सकते हैं ।

जयम हबतलज
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.