Mozilla, Cloudflare og Facebook introducerer TLS-udvidelsen

Delegeret legitimationsoplysningerTelemetri

Mozilla, Cloudflare og Facebook annoncerede fællesskab den nye TLS Delegated Credentials-udvidelseDet løser problemet med certifikater ved at organisere adgang til et websted gennem et indholdsleveringsnetværk. Certifikater udstedt af certificeringsmyndigheder har en lang gyldighedsperiode, hvilket gør det vanskeligt at organisere adgang til webstedet gennem en tredjepartstjeneste, på hvis vegne der skal etableres en sikker forbindelse, da overførsel af certifikatet fra et sted til et eksternt service skaber yderligere sikkerhedsrisici.

Den nye udvidelse også kan være nyttigt for websteder, hvis arbejde leveres af en stor distribueret infrastruktur med et stort antal belastningsbalancere. De delegerede legitimationsoplysninger hjælper med at undgå at gemme kopier af de private nøgler til de primære certifikater på hver indholdsuploadnode.

Med den klassiske tilgang vil et vellykket angreb på en af ​​de servere, der er involveret i levering af HTTPS-trafik, føre til kompromis med hele certifikatet. I tilfælde af overførsel af private nøgler til indholdsleveringsnetværk er der trusler om datatab som følge af personalets sabotage, specielle servicehandlinger eller kompromis med CDN-infrastrukturen.

Hvis nøgletab går ubemærket hen, vil nøgleadgangere være i stand til stille at indtaste webstedstrafik (MITM) i lang tid, da gyldighedsperioden for certifikater beregnes i måneder og år.

Cloudflare kan bruge specielle nøgleservere der arbejder på sideejerens side for at beskytte certifikatnøgler, men arbejde i denne tilstand genererer det mærkbare forsinkelser i levering af trafik, reducerer pålideligheden på grund af udseendet af et ekstra link og kræver implementering af en sofistikeret infrastruktur.

Den foreslåede TLS-udvidelse introducerer en yderligere mellemliggende privat nøgle, cDens gyldighed er begrænset til timer eller flere dage (ikke mere end 7 dage). Denne nøgle genereres baseret på certifikatet udstedt af certificeringscentret og giver dig mulighed for at holde den private nøgle til det originale certifikat fra indholdsleveringstjenester hemmelig ved kun at give et midlertidigt certifikat med en kort levetid.

For at undgå adgangsproblemer, når den mellemliggende nøgle har nået slutningen af ​​dens brugstid, implementeres en automatisk opdateringsteknologi på kilden TLS-serversiden.

For at generere behøver du ikke udføre manuelle operationer eller køre scripts: en autoritativ server, der har brug for en privat nøgle, inden den gamle nøgles levetid udløber, får adgang til webstedets TLS-server og genererer en mellemnøgle til den næste korte tid ramme.

De browsere, der understøtter legitimationsoplysningerne af TLS-udvidelsen de opfatter sådanne afledte certifikater som pålidelige

For eksempel er support til den angivne udvidelse allerede blevet tilføjet til natlige builds og betaversioner af Firefox og kan aktiveres i om: config ændre indstillinger "Security.tls.enable_delegated_credentials".

I midten af ​​november blandt en vis procentdel af Firefox-prøvebrugere, et eksperiment er også planlagt "TLS Delegated Credentials Experiment", hvor en testanmodning vil blive sendt til Cloudflare DC-serveren for at teste kvaliteten af ​​den nye TLS-udvidelse.

TLS Delegated Credentials er også indbygget i Fizz-biblioteket med implementeringen af ​​TLS 1.3.

TLS Delegated Credentials-specifikationen blev sendt til IETF-komiteen (Internet Engineering Task Force), som udvikler protokollerne og arkitekturen på Internettet, og er i udkastfasen og hævder at være internetstandarden. Udvidelsen kan kun bruges med TLS v1.3. For at generere de mellemliggende nøgler skal der opnås et TLS-certifikat, som inkluderer den specielle X.509-udvidelse, som indtil nu kun understøttes af DigiCert-certifikatmyndigheden.

Si du vil vide mere om det, kan du konsultere følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.