Mozilla, Cloudflare и Facebook обявиха съвместно новото разширение за делегирани пълномощия на TLSЧе решава проблема със сертификатите, като организира достъп до сайт чрез мрежа за доставка на съдържание. Сертификатите, издадени от сертифициращи органи, имат дълъг период на валидност, което затруднява организирането на достъпа до сайта чрез услуга на трета страна, от името на която трябва да се установи сигурна връзка, тъй като прехвърлянето на сертификата от сайт към външна услуга създава допълнителни рискове за сигурността.
Новото разширение също може да бъде полезно за сайтове, чиято работа се осигурява от голяма разпределена инфраструктура с голям брой балансиращи натоварвания. Делегираните идентификационни данни ще помогнат да се избегне съхраняването на копия на частните ключове на първичните сертификати във всеки възел за качване на съдържание.
С класическия подход успешната атака на всеки от сървърите, участващи в предоставянето на HTTPS трафик, ще доведе до компрометиране на целия сертификат. В случай на прехвърляне на частни ключове към мрежи за доставка на съдържание, има заплахи от загуба на данни в резултат на саботаж от персонала, специални действия на услугата или компрометиране на CDN инфраструктурата.
Ако загубата на ключ остане неоткрита, ключовите достъпни лица ще могат да влизат безшумно в трафика на сайта (MITM) за дълго време, тъй като периодът на валидност на сертификатите се изчислява в месеци и години.
Cloudflare може да използва специални ключови сървъри които работят от страната на собственика на сайта за защита на ключовете на сертификата, но работи в този режим генерира забележими закъснения в доставката на трафика, намалява надеждността поради появата на допълнителна връзка и изисква внедряването на сложна инфраструктура.
Предложеното разширение TLS въвежда допълнителен междинен частен ключ, cВалидността му е ограничена до часове или няколко дни (не повече от 7 дни). Този ключ се генерира въз основа на сертификата, издаден от сертификационния център и ви позволява да запазите в тайна частния ключ на оригиналния сертификат от услуги за доставка на съдържание, като предоставяте само временен сертификат с кратка продължителност на живота.
За да се избегнат проблеми с достъпа, след като междинният ключ достигне края на своя полезен живот, технологията за автоматично актуализиране е внедрена от страна на изходния TLS сървър.
За да генерирате, не е необходимо да извършвате ръчни операции или да изпълнявате скриптове: авторитетен сървър, който се нуждае от частен ключ, преди изтичането на полезния живот на стария ключ, осъществява достъп до TLS сървъра на сайта и генерира междинен ключ за следващия кратък времева рамка.
Браузърите, които поддържат идентификационните данни на разширението TLS те ще възприемат такива деривативни сертификати като надеждни.
Например, поддръжката за посоченото разширение вече е добавена към нощни компилации и бета версии на Firefox и може да бъде активирана в about: конфиг промяна на настройките „Security.tls.enable_delegated_credentials“.
В средата на ноември сред определен процент от пробните потребители на Firefox, също е планиран експеримент „Експеримент с делегирани идентификационни данни на TLS“, при който ще бъде изпратена тестова заявка до сървъра на Cloudflare DC, за да се тества качеството на новото разширение TLS.
Делегираните идентификационни данни на TLS също са вградени в библиотеката на Fizz с внедряването на TLS 1.3.
Спецификацията за делегирани пълномощия на TLS е представена на комисията IETF (Internet Engineering Task Force), която разработва протоколите и архитектурата на Интернет, и е в етап на проектиране, твърдейки, че е интернет стандарт. Удължението може да се използва само с TLS v1.3. За да се генерират междинни ключове, трябва да се получи TLS сертификат, който включва специалното разширение X.509, което досега се поддържа само от сертифициращия орган DigiCert.
Si искате да знаете повече за това, можете да се консултирате следната връзка.