Myślę, że wielu z was słyszało o inicjatywie Przejrzystości certyfikatu Google . Teraz inicjatywa obejmuje rejestr publiczny wszystkich certyfikatów wydanych przez niektóre urzędy certyfikacji. Ponieważ jest to trochę pracy, nie wszystkie urzędy certyfikacji już to skonfigurowały. Na przykład StartCom powiedział już, że ciężko jest go skonfigurować z ich strony, a odpowiednia konfiguracja zajmie miesiące. W międzyczasie wszystkie certyfikaty EV są „obniżane” do „standardowych certyfikatów” przez Chrome.
Teraz stwierdzono, że istnieją trzy sposoby dostarczenia niezbędnych rejestrów, aby zapobiec obniżeniu oceny:
- Rozszerzenia x509v3, najwyraźniej możliwe tylko dla CA
- Rozszerzenie TLS
- Zszywanie OCSP
Teraz myślę, że drugi i trzeci wymagają interakcji (nie?) Ze strony wystawiającego CA.
Pytanie:
czy mogę skonfigurować obsługę przezroczystości certyfikatów na moim serwerze Apache, jeśli mój urząd certyfikacji tego nie obsługuje i jak mogę to zrobić, jeśli jest to możliwe?