我想你们很多人都听说过Google 的证书透明度倡议。现在,倡议涉及某个 CA 颁发的所有证书的公共日志。由于这项工作量很大,并非所有 CA 都已设置它。例如星通已经说过,从他们的角度来说,设置起来很困难,而且正确的设置需要几个月的时间。与此同时,Chrome 将所有 EV 证书“降级”为“标准证书”。
现在指出,有三种方法可以提供必要的记录以防止降级:
- x509v3 扩展,显然只有 CA 才有可能
- TLS 扩展
- OCSP 装订
现在我认为第二个和第三个需要(不需要?)来自发行 CA 的交互。
所以问题是:
如果我的 CA 不支持,我可以使用 apache 网络服务器设置证书透明度支持吗?如果可能的话,我该如何做?
答案1
抱歉,除非您自己制作证书透明度扩展,否则您无法做到这一点。Apache 2.4.x 中没有用于证书透明度的现有 TLS 扩展,x509v3 扩展和 OCSP 装订只能由证书颁发机构完成。不过,Apache 正在努力为 Apache 2.5 带来 TLS 扩展。
答案2
现在,您可以使用 TLS 扩展方法和mod_ssl_ctApache 模块来实现这一点。