Nginx启用Certificate Transparency支持

随着HTTP/2逐渐推广起来,SSL证书迟早将会成为互联网站点的标配。作为个人用户,现在Let‘s encrypt、Startssl、沃通(无洁癖的话)都提供免费的SSL证书。为了推广Certificate Transparency谷歌决定在新版本的Chrome中取消没有Certificate Transparency的EV证书的小绿条,Certificate Transparency的具体作用请参照Jerry Qu的博文,虽然一般个人用户玩不起EV证书,但是可以启用Certificate Transparency装装逼。

certificate-transparency-monitoring-service.png


具体的步骤Jerry Qu大大的博文中已经非常详细,我这里不再赘述只是做点补充:

ct-submit是用来获取sct文件的,这个页面里有很多CT服务器,但是以google为主的CT服务器因为众所周知的原因在大陆无法访问,可以用境外的VPS获取sct文件之后在拿到墙内来用,nginx支持的sct文件大小为117B,可以用xxd holmesian.sct来查看是否正确。

    cd openssl && patch -p1 < ../sslconfig/patches/openssl__chacha20_poly1305_cf.patch 

大大推荐使用 CloudFlare Patch 过的 OpenSSL,但是在有的环境中打了这个补丁之后可能编译无法通过,如果你遇到了不打这个补丁即可,nginx-ct插件依旧可以编译成功并正常使用。


    ssl_ct_static_scts   /your/path/to/scts;
    ssl_ct_static_scts的值是sct文件所在的文件夹,不是sct的文件名,否则nginx会报错。

好了,别的没什么,今年春节也就这样莫名其妙地在陪我家灵活的孕妇到处去浪中过完了。


「倘若有所帮助,不妨酌情赞赏!」

Holmesian

感谢您的支持!

使用微信扫描二维码完成支付


相关文章

发表新评论
已有 7 条评论
  1. 禅猫

    怎么ct出来的文件是空文件?0字节?

    禅猫 回复
    1. Holmesian

      @禅猫

      推荐一个python工具 https://github.com/lingmm/ct-submit

      Holmesian 回复
    2. 禅猫

      @禅猫

      呀 怎么两条评论。。。麻烦博主删之

      禅猫 回复
  2. 木瓜园

    python 版工具分析一下呢

    木瓜园 回复
    1. 木瓜园

      @木瓜园

      分享

      木瓜园 回复
  3. liwanglin12

    ct-submit可以退休了233,有个朋友写了个python的超好用

    liwanglin12 回复
    1. holmesian

      @liwanglin12

      我看到那个python版本的工具了,确实比ct-submit好用多了。

      holmesian 回复