Mozilla, Cloudflare i Facebook presenten l'extensió TLS

DelegatedCredentialsTelemetry

Mozilla, Cloudflare i Facebook van anunciar conjuntament la nova extensió TLS Delegated Credentials, que resol el problema amb els certificats a l'organitzar l'accés a un lloc a través d'una xarxa de lliurament de contingut. Els certificats emesos per les autoritats de certificació tenen un llarg període de validesa, el que dificulta l'organització de l'accés a el lloc a través d'un servei de tercers, en el nom s'ha d'establir una connexió segura, ja que la transferència de l'certificat d'un lloc a un servei extern crea riscos de seguretat addicionals.

La nova extensió també pot ser útil per a llocs el treball és proporcionat per una gran infraestructura distribuïda amb una gran quantitat d'equilibradors de càrrega. Les credencials delegades ajudaran a evitar l'emmagatzematge de còpies de les claus privades dels certificats principals en cada node de càrrega de contingut.

Amb l'enfocament clàssic, un atac reeixit a qualsevol dels servidors involucrats en el lliurament de l'trànsit HTTPS conduirà a el compromís de tot el certificat. En el cas de la transferència de claus a xarxes de lliurament de contingut, hi ha amenaces de pèrdua de dades com a resultat de el sabotatge per part de personal, accions de serveis especials o compromís de la infraestructura CDN.

Si la pèrdua de clau passa desapercebuda, els qui accedeixin a les claus podran ingressar silenciosament a el tràfic de el lloc (MITM) durant molt de temps, ja que el període de validesa dels certificats es calcula en mesos i anys.

Cloudflare pot usar servidors de claus especials que treballen de costat de l'propietari de el lloc per protegir les claus de certificat, Però treballar en aquesta manera genera demores notables en el lliurament de l'trànsit, redueix la fiabilitat causa de l'aparició d'un enllaç addicional i requereix el desplegament d'una infraestructura sofisticada.

L'extensió TLS proposta introdueix una clau privada intermèdia addicional, cueixi validesa es limita a hores o diversos dies (no més de 7 dies). aquesta clau es genera sobre la base de l'certificat emès pel centre de certificació i li permet mantenir en secret la clau privada de l'certificat original dels serveis de lliurament de contingut a l'proporcionar-sol un certificat temporal amb una vida útil curta.

Per evitar problemes d'accés una vegada que la clau intermèdia ha arribat a la fi de la seva vida útil, s'implementa una tecnologia d'actualització automàtica al costat de servidor TLS d'origen.

Per generar, no necessita realitzar operacions manuals o executar scripts: un servidor autoritzat que necessita una clau privada, abans que expiri la vida útil de la clau anterior, accedeix a l'servidor TLS d'origen de el lloc i genera una clau intermèdia per al proper curt període de temps.

Els navegadors que admetin les credencials de l'extensió TLS percebran aquests certificats derivats com fiables.

Per exemple, el suport per a l'extensió especificada ja s'ha afegit a les compilacions nocturnes i les versions beta de Firefox i es pot activar en sobre: ​​config canviant la configuració «Security.tls.enable_delegated_credentials».

A mitjans de novembre, entre un cert percentatge d'usuaris de versions de prova de Firefox, també està previst realitzar un experiment «TLS Delegated Credentials Experiment», en el qual s'enviarà una sol·licitud de prova a l'servidor Cloudflare DC per provar la qualitat de la nova extensió TLS.

El TLS Delegated Credentials també està integrat a la biblioteca de Fizz amb la implementació de TLS 1.3.

L'especificació de TLS Delegated Credentials es va presentar a el comitè IETF (Internet Engineering Task Force), que està desenvolupant els protocols i l'arquitectura d'Internet, i es troba en l'etapa d'esborrany, al·legant ser l'estàndard d'Internet. L'extensió només es pot usar amb TLS v1.3. Per generar les claus intermèdies, s'ha d'obtenir un certificat TLS, que inclou l'extensió especial X.509, que fins ara només és compatible amb l'autoritat de certificació DigiCert.

Si vols conèixer més a l'respecte, Pots consultar el següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.