V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sparanoid
V2EX  ›  SSL

让 DV、OV 证书支持 Certificate Transparency

  •  
  •   sparanoid · 2015-10-17 00:34:59 +08:00 · 3413 次点击
    这是一个创建于 3327 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://www.certificate-transparency.org/resources-for-site-owners

    通过简单的设置即可让 DV 、 OV 证书支持 Certificate Transparency
    9 条回复    2015-12-06 21:57:59 +08:00
    wzxjohn
        1
    wzxjohn  
       2015-10-17 00:45:47 +08:00
    啊~又要編譯 OpenSSL 。。。好不想折騰啊。。。
    xfspace
        2
    xfspace  
       2015-10-17 01:12:56 +08:00 via Android
    这头编译完 Nginx ,又来搞 Openssl 了....
    alect
        3
    alect  
       2015-10-17 11:18:25 +08:00
    好像不可以让已有的证书支持。。然并卵。。
    alect
        4
    alect  
       2015-10-17 11:29:12 +08:00
    抱歉,仔细看了下原文,应该是已有的证书也支持透明度信息。。不用重新颁发了。
    sparanoid
        5
    sparanoid  
    MOD
    OP
       2015-10-17 13:49:06 +08:00 via iPhone
    @alect EV 在签的时候会被要求嵌入 SCT 以支持 CT , DV 、 OV 这里用的是 TLS 扩展

    只要用 nginx-ct 重编 nginx 、 ct-submit 生成 SCT 即可
    ahu
        7
    ahu  
       2015-12-06 16:03:47 +08:00
    @sparanoid 借这里向你请教关于 nginx 配置 OCSP 的正确姿势>.<
    我的网站在 ssllabs 测试中被提示 OCSP 没有开启,但我明明配置了...
    我在你网站看到你说 You can also enable OCSP Stapling for multiple server directives. However OCSP Stapling must be first enabled in the default_server directive before it can be enabled on any other directive.

    我想了解一下这段话具体的含义,要能举例说明就最好不过了。
    实际上我也搜到大概一些说法是 OCSP 必须在 default server 里才有效。而我在我的多个虚机中的确指定了一个 SSL SERVER 为 defaullt_server ,也启用了 OCSP 。但在 ssllabs 测试它,就是提示未开启...
    ahu
        8
    ahu  
       2015-12-06 16:16:50 +08:00
    @sparanoid 奇怪,发完之后又测, ssl default_server 的 OCSP 又 ok 了,但是测其他 vhost ssl 的依旧不 ok ,莫非不支持?
    ahu
        9
    ahu  
       2015-12-06 21:57:59 +08:00
    晕死,再测一次又没了 疯掉了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6075 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 06:18 · PVG 14:18 · LAX 22:18 · JFK 01:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.