많은 분들이 실제로 Google의 인증서 투명성 이니셔티브에 대해 들어 본 적이 있다고 생각 합니다. 이제 이니 시브에는 일부 CA에서 발행 한 모든 인증서의 공개 로그가 포함됩니다. 이것은 약간의 작업이므로 일부 CA가 아직 설정하지 않았습니다. 예를 들어 StartCom은 이미 측면에서 설정하기가 어렵다고 말했으며 적절한 설정은 몇 달이 걸릴 것입니다. 그 동안 모든 EV 인증서는 Chrome에서 "표준 인증서"로 "다운 그레이드"됩니다.
이제 다운 그레이드를 방지하기 위해 필요한 레코드를 제공하는 세 가지 방법이 있다고 언급되었습니다.
- x509v3 확장, CA에만 가능
- TLS 확장
- OCSP 스테이플 링
이제 두 번째와 세 번째는 발급 CA와의 상호 작용이 필요하다고 생각합니다.
따라서 질문 :
CA가 지원하지 않는 경우 Apache 웹 서버에서 인증서 투명성 지원을 설정할 수 있습니까? 가능하면 어떻게 할 수 있습니까?
나는 이것이 이것을 물어볼 수있는 올바른 장소가되기를 희망한다. 나는 인터넷에서 "어떻게"에 대한 아무것도 발견하지 못했다. 그리고 이것이 서버에 대해 설정 하는 방법 에 관한 것이기 때문에 SF에 속한다고 말하고 싶습니다 (SU가 아닌) 워크 스테이션과 관련이 없습니다. 이 질문은 InfoSec에서 주제를 벗어난 것입니다 ( "can"이 주제 일 수도 있지만 ...)
—
SEJPM
Apache 2.4에서 TLS 확장을 설정 하고 필요한 경우 OpenSSL> = 1.0.2로만 설정할 수 있습니다 . StartLS가 루트 인증서를 Google Aviator, Pilot, Rocketeer 로그에 제출 한 경우에만 CA의 상호 작용없이 TLS 확장을 구현할 수 있습니다. OCSP 스테이플 링은 CA 상호 작용 (OCSP 서버를 소유 함)이 필요하므로 그렇게 할 수 없습니다. 아파치에 대한 많은 "해킹"을 가진 TLS 확장 만 가능한 옵션 ...
—
Jason
@Jason, OpenSSL v1.0.2 이상을받는 것은 독자에게 명확하지 않은 경우 별도의 질문으로 질문 할 수 있습니다. 가능한 경우 적절한 openssl 버전을 사용할 수 있다고 가정하고 TLS 확장을 사용하도록 아파치 (2.4)를 설정하는 방법에 대한 답변을 게시하십시오. 그리고 OCSP 스테이플 링이 CA가 무언가를 수행해야하는 이유와 확장이 작동하기 위해 CA가해야 할 일에 대한 간단한 설명을 제공 할 수 있습니다. 나는 당신 이이 답변으로 많은 사람들을 도울 것이라고 확신합니다 :)
—
SEJPM
답변을 게시하기 전에이 질문을 해결 한 사람 : 이 블로그 항목은 아파치 단계
—
SEJPM
몇 년 동안 SSL 인증서를 잃어 버릴 수는 있지만 가장 쉬운 해결책은 투명성 을 지원할 수 있는 공급자로 상자를 다시 인증하는 것 입니다. 지적해야 할 것 같습니다.
—
Daniel Farrell