让 DV、OV 证书支持 Certificate Transparency

2015-10-17 00:34:59 +08:00

sparanoid

http://www.certificate-transparency.org/resources-for-site-owners

通过简单的设置即可让 DV 、 OV 证书支持 Certificate Transparency

3342 次点击

所在节点

SSL

9 条回复

wzxjohn

2015-10-17 00:45:47 +08:00

啊～又要編譯 OpenSSL 。。。好不想折騰啊。。。

xfspace

2015-10-17 01:12:56 +08:00

这头编译完 Nginx ，又来搞 Openssl 了....

alect

2015-10-17 11:18:25 +08:00

好像不可以让已有的证书支持。。然并卵。。

alect

2015-10-17 11:29:12 +08:00

抱歉，仔细看了下原文，应该是已有的证书也支持透明度信息。。不用重新颁发了。

sparanoid

2015-10-17 13:49:06 +08:00

@alect EV 在签的时候会被要求嵌入 SCT 以支持 CT ， DV 、 OV 这里用的是 TLS 扩展

只要用 nginx-ct 重编 nginx 、 ct-submit 生成 SCT 即可

webiis

2015-11-20 09:04:29 +08:00

支持所有证书都有透明度信息。。

ahu

2015-12-06 16:03:47 +08:00

@sparanoid 借这里向你请教关于 nginx 配置 OCSP 的正确姿势>.<
我的网站在 ssllabs 测试中被提示 OCSP 没有开启，但我明明配置了...
我在你网站看到你说 You can also enable OCSP Stapling for multiple server directives. However OCSP Stapling must be first enabled in the default_server directive before it can be enabled on any other directive.

我想了解一下这段话具体的含义，要能举例说明就最好不过了。
实际上我也搜到大概一些说法是 OCSP 必须在 default server 里才有效。而我在我的多个虚机中的确指定了一个 SSL SERVER 为 defaullt_server ，也启用了 OCSP 。但在 ssllabs 测试它，就是提示未开启...

ahu

2015-12-06 16:16:50 +08:00

@sparanoid 奇怪，发完之后又测， ssl default_server 的 OCSP 又 ok 了，但是测其他 vhost ssl 的依旧不 ok ，莫非不支持？

ahu

2015-12-06 21:57:59 +08:00

晕死，再测一次又没了疯掉了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/228690

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.