Oznámeny společnosti Mozilla, Cloudflare a Facebook společně nové rozšíření TLS Delegated CredentialsŽe řeší problém s certifikáty organizováním přístupu na web prostřednictvím sítě pro doručování obsahu. Certifikáty vydané certifikačními úřady mají dlouhou dobu platnosti, což ztěžuje organizaci přístupu na web prostřednictvím služby třetí strany, jejímž jménem musí být navázáno zabezpečené připojení, protože převod certifikátu ze stránky na vnější stranu služba vytváří další bezpečnostní rizika.
Nové rozšíření také může být užitečné pro weby, jejichž práci zajišťuje velká distribuovaná infrastruktura s velkým počtem balancerů zátěže. Delegovaná pověření pomohou vyhnout se ukládání kopií soukromých klíčů primárních certifikátů do každého uzlu pro nahrávání obsahu.
U klasického přístupu povede úspěšný útok na kterýkoli ze serverů zapojených do doručování provozu HTTPS ke kompromisu celého certifikátu. V případě přenosu soukromých klíčů do sítí pro doručování obsahu existují hrozby ztráty dat v důsledku sabotáže ze strany zaměstnanců, zvláštních servisních akcí nebo narušení infrastruktury CDN.
Pokud ztráta klíče zůstane nezjištěna, přístupoví uživatelé klíčů budou moci po dlouhou dobu bezobslužně zadávat provoz na webu (MITM), protože doba platnosti certifikátů se počítá v měsících a letech.
Cloudflare může používat speciální klíčové servery kteří pracují na straně vlastníka webu k ochraně klíčů certifikátů, ale práce v tomto režimu generuje znatelné zpoždění při doručování provozu, snižuje spolehlivost díky vzhledu dalšího odkazu a vyžaduje nasazení sofistikované infrastruktury.
Navrhované rozšíření TLS zavádí další zprostředkující soukromý klíč, cJeho platnost je omezena na hodiny nebo několik dní (ne více než 7 dní). Tento klíč je generován na základě certifikátu vydaného certifikačním centrem a umožňuje vám uchovat soukromý klíč původního certifikátu ze služeb pro doručování obsahu v tajnosti poskytnutím pouze dočasného certifikátu s krátkou životností.
Aby se předešlo problémům s přístupem poté, co prostřední klíč dosáhl konce své životnosti, je na straně zdroje TLS serveru implementována technologie automatických aktualizací.
Chcete-li generovat, nemusíte provádět ruční operace ani spouštět skripty: autoritativní server, který potřebuje soukromý klíč, před vypršením doby použitelnosti starého klíče přistupuje ke zdrojovému serveru TLS webu a vygeneruje prostřední klíč pro další krátkou dobu rám.
Prohlížeče, které podporují pověření rozšíření TLS budou takové derivátové certifikáty vnímat jako spolehlivé.
Například podpora pro zadané rozšíření již byla přidána do nočních sestav a beta verzí Firefoxu a lze ji aktivovat v o: config změna nastavení „Security.tls.enable_delegated_credentials“.
V polovině listopadu, mezi určitým procentem uživatelů zkušební verze Firefoxu, plánuje se také experiment „Experiment s delegovanými pověřeními TLS“, ve kterém bude odeslán požadavek na test na server Cloudflare DC k otestování kvality nové přípony TLS.
Delegované pověření TLS je také implementováno do knihovny Fizz s implementací TLS 1.3.
Specifikace TLS Delegated Credentials byla předložena výboru IETF (Internet Engineering Task Force), který vyvíjí protokoly a architekturu Internetu a je ve fázi návrhu a prohlašuje, že je internetovým standardem. Rozšíření lze použít pouze s TLS v1.3. Pro vygenerování mezilehlých klíčů je třeba získat certifikát TLS, který obsahuje speciální rozšíření X.509, které je dosud podporováno pouze certifikační autoritou DigiCert.
Si chcete o tom vědět víc, můžete se poradit následující odkaz.