Mozilla, Cloudflare und Facebook angekündigt gemeinsam die neue Erweiterung TLS Delegated CredentialsDass Behebt das Problem mit Zertifikaten, indem der Zugriff auf eine Site über ein Content Delivery-Netzwerk organisiert wird. Von Zertifizierungsstellen ausgestellte Zertifikate haben eine lange Gültigkeitsdauer, was es schwierig macht, den Zugriff auf die Site über einen Drittanbieter zu organisieren, in dessen Auftrag eine sichere Verbindung hergestellt werden muss, da das Zertifikat von einer Site übertragen wird zu einem externen Dienst schafft zusätzliche Sicherheitsrisiken.
Die neue Erweiterung auch kann für Sites nützlich sein, deren Arbeit von einer großen verteilten Infrastruktur bereitgestellt wird mit einer großen Anzahl von Load Balancern. Die delegierten Anmeldeinformationen tragen dazu bei, das Speichern von Kopien der privaten Schlüssel der Primärzertifikate auf jedem Knoten zum Hochladen von Inhalten zu vermeiden.
Mit dem klassischen Ansatz führt ein erfolgreicher Angriff auf einen der Server, die an der Bereitstellung von HTTPS-Verkehr beteiligt sind, zum Kompromiss des gesamten Zertifikats. Bei der Übertragung privater Schlüssel in Content Delivery-Netzwerke besteht die Gefahr eines Datenverlusts aufgrund von Sabotage durch Mitarbeiter, speziellen Servicemaßnahmen oder einer Gefährdung der CDN-Infrastruktur.
Wenn der Schlüsselverlust nicht erkannt wird, können Schlüsselzugriffsberechtigte lange Zeit stillschweigend in den Site-Verkehr (MITM) eintreten, da die Gültigkeitsdauer von Zertifikaten in Monaten und Jahren berechnet wird.
Cloudflare kann spezielle Schlüsselserver verwenden die auf der Seite des Websitebesitzers arbeiten zum Schutz von Zertifikatschlüsseln, aber arbeiten In diesem Modus kommt es zu spürbaren Verzögerungen bei der Übermittlung von Datenverkehr. Reduziert die Zuverlässigkeit aufgrund des Auftretens einer zusätzlichen Verbindung und erfordert die Bereitstellung einer hoch entwickelten Infrastruktur.
Mit der vorgeschlagenen TLS-Erweiterung wird ein zusätzlicher privater Zwischenschlüssel eingeführt. C.Ihre Gültigkeit ist auf Stunden oder mehrere Tage (nicht mehr als 7 Tage) begrenzt. Dieser Schlüssel wird auf der Grundlage des vom Zertifizierungszentrum ausgestellten Zertifikats erstellt Außerdem können Sie den privaten Schlüssel des Originalzertifikats vor Inhaltslieferdiensten geheim halten, indem Sie nur ein temporäres Zertifikat mit kurzer Lebensdauer bereitstellen.
Um Zugriffsprobleme zu vermeiden, nachdem der Zwischenschlüssel das Ende seiner Nutzungsdauer erreicht hat, wird auf der TLS-Quellserverseite eine automatische Aktualisierungstechnologie implementiert.
Zum Generieren müssen Sie keine manuellen Vorgänge ausführen oder Skripts ausführen: Ein autorisierender Server, der vor Ablauf der Nutzungsdauer des alten Schlüssels einen privaten Schlüssel benötigt, greift auf den TLS-Quellserver der Site zu und generiert einen Zwischenschlüssel für den nächsten Kurzschluss Zeitfenster.
Die Browser, die die Anmeldeinformationen unterstützen der TLS-Erweiterung Sie werden solche derivativen Zertifikate als zuverlässig betrachten.
Beispielsweise wurde die Unterstützung für die angegebene Erweiterung bereits für nächtliche Builds und Beta-Versionen von Firefox hinzugefügt und kann in aktiviert werden about: config Einstellungen ändern "Security.tls.enable_delegated_credentials".
Mitte November unter einem bestimmten Prozentsatz der Benutzer der Firefox-Testversion Ein Experiment ist ebenfalls geplant "TLS Delegated Credentials Experiment", bei dem eine Testanforderung an den Cloudflare DC-Server gesendet wird, um die Qualität der neuen TLS-Erweiterung zu testen.
Die TLS-delegierten Anmeldeinformationen sind mit der Implementierung von TLS 1.3 auch in die Fizz-Bibliothek integriert.
Die TLS-Spezifikation für delegierte Anmeldeinformationen wurde dem IETF-Ausschuss (Internet Engineering Task Force) vorgelegt, der die Protokolle und die Architektur des Internets entwickelt. Sie befindet sich im Entwurfsstadium und behauptet, der Internetstandard zu sein. Die Erweiterung kann nur mit TLS v1.3 verwendet werden. Um die Zwischenschlüssel zu generieren, muss ein TLS-Zertifikat erhalten werden, das die spezielle X.509-Erweiterung enthält, die bisher nur von der DigiCert-Zertifizierungsstelle unterstützt wird.
Si Sie möchten mehr darüber wissenkönnen Sie konsultieren den folgenden Link.