Я думаю, многие из вас действительно слышали о Прозрачность сертификата Google инициатива. Теперь инициатива включает в себя публичный журнал всех сертификатов, выданных некоторым ЦС. Поскольку это некоторый объем работы, еще не все центры сертификации настроили его. Например StartCom уже сказали, что их сложно настроить, и на правильную настройку у них уйдут месяцы. Между тем, все сертификаты EV "понижены" до "стандартных сертификатов" Chrome.
Было заявлено, что есть три способа предоставить необходимые записи для предотвращения перехода на более раннюю версию:
Теперь я думаю, что второй и третий требуют (нет?) Взаимодействия со стороны выдающего ЦС.
Итак, вопрос:
Могу ли я настроить поддержку прозрачности сертификатов на моем веб-сервере apache, если мой ЦС не поддерживает это, и как я могу это сделать, если это возможно?
Извините, но вы не сможете этого сделать, если не создадите собственное расширение для прозрачности сертификата. В Apache 2.4.x нет существующих расширений TLS для прозрачности сертификатов, и оба расширения x509v3 и сшивание OCSP могут выполняться только центром сертификации. Однако Apache работает над расширением TLS для Apache 2.5.
В настоящее время это можно сделать с помощью метода расширения TLS и mod_ssl_ct Модуль Apache.