让 DV、OV 证书支持 Certificate Transparency

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3123 天前的主题，其中的信息可能已经有所发展或是发生改变。

http://www.certificate-transparency.org/resources-for-site-owners

通过简单的设置即可让 DV 、 OV 证书支持 Certificate Transparency

证书

transparency

certificate

支持

9 条回复 • 2015-12-06 21:57:59 +08:00

wzxjohn

2015-10-17 00:45:47 +08:00

啊～又要編譯 OpenSSL 。。。好不想折騰啊。。。

xfspace

2015-10-17 01:12:56 +08:00 via Android

这头编译完 Nginx ，又来搞 Openssl 了....

alect

2015-10-17 11:18:25 +08:00

好像不可以让已有的证书支持。。然并卵。。

alect

2015-10-17 11:29:12 +08:00

抱歉，仔细看了下原文，应该是已有的证书也支持透明度信息。。不用重新颁发了。

sparanoid

MOD

2015-10-17 13:49:06 +08:00 via iPhone

@alect EV 在签的时候会被要求嵌入 SCT 以支持 CT ， DV 、 OV 这里用的是 TLS 扩展

只要用 nginx-ct 重编 nginx 、 ct-submit 生成 SCT 即可

ahu

2015-12-06 16:03:47 +08:00

@sparanoid 借这里向你请教关于 nginx 配置 OCSP 的正确姿势>.<
我的网站在 ssllabs 测试中被提示 OCSP 没有开启，但我明明配置了...
我在你网站看到你说 You can also enable OCSP Stapling for multiple server directives. However OCSP Stapling must be first enabled in the default_server directive before it can be enabled on any other directive.

我想了解一下这段话具体的含义，要能举例说明就最好不过了。
实际上我也搜到大概一些说法是 OCSP 必须在 default server 里才有效。而我在我的多个虚机中的确指定了一个 SSL SERVER 为 defaullt_server ，也启用了 OCSP 。但在 ssllabs 测试它，就是提示未开启...

ahu

2015-12-06 16:16:50 +08:00

@sparanoid 奇怪，发完之后又测， ssl default_server 的 OCSP 又 ok 了，但是测其他 vhost ssl 的依旧不 ok ，莫非不支持？

ahu

2015-12-06 21:57:59 +08:00

晕死，再测一次又没了疯掉了