Mozillak, Cloudflare-k eta Facebook-ek TLS luzapena aurkezten dute

DelegatedCredentialsTelemetry

Mozilla, Cloudflare eta Facebook iragarri dituzte elkarrekin TLS ordezkatutako kredentzialen luzapen berriaThat ziurtagiriekin arazoa konpontzen du webgunerako sarbidea edukia entregatzeko sare baten bidez antolatuz. Ziurtagiri-agintariek emandako ziurtagiriek baliozko epe luzea dute, eta horrek zaildu egiten du gunerako sarbidea antolatzea hirugarrenen zerbitzu baten bidez. Horren izenean konexio segurua ezarri behar da, ziurtagiria gune batetik kanpora transferitu zenetik zerbitzuak segurtasun arrisku osagarriak sortzen ditu.

Luzapen berria ere erabilgarria izan daiteke banatutako azpiegitura handi batek egindako lana duten guneetarako karga orekatzaile ugari dituena. Eskualdatutako egiaztagiriek ziurtagiri nagusien gako pribatuen kopiak edukia kargatzeko nodo bakoitzean gordetzea ekidingo dute.

Ikuspegi klasikoarekin, HTTPS trafikoa entregatzean parte hartzen duten zerbitzarien aurkako eraso arrakastatsuak ziurtagiri osoa arriskuan jartzea ekarriko du. Giltza pribatuak edukia banatzeko sareetara transferitzearen kasuan, langileen sabotajearen, zerbitzu berezien ekintzen edo CDN azpiegituraren arriskuaren ondorioz datuak galtzeko mehatxuak daude.

Gakoen galera antzematen ez bada, gakoen sarbideek webguneko trafikoa (MITM) isilean sartu ahal izango dute denbora luzez, ziurtagirien indarraldia hilabetetan eta urtetan kalkulatzen baita.

Cloudflare-k gako zerbitzari bereziak erabil ditzake gunearen jabearen alde lan egiten dutenak ziurtagiri gakoak babesteko, baina lana modu honetan atzerapen nabariak sortzen ditu trafikoa ematean, fidagarritasuna murrizten du esteka osagarri baten itxuragatik eta azpiegitura sofistikatu bat hedatzea eskatzen du.

Proposatutako TLS luzapenak tarteko gako pribatu gehigarri bat aurkezten du, cBere indarraldia ordu edo egun batzuetara (7 egun baino gehiago) ez da mugatzen. Gako hau ziurtagiri zentroak emandako ziurtagiriaren arabera sortzen da eta edukia entregatzeko zerbitzuen jatorrizko ziurtagiriaren gako pribatua sekretuan gordetzeko aukera ematen du, iraupen laburreko aldi baterako ziurtagiria soilik emanez.

Sarbide arazoak ekiditeko tarteko gakoa bere bizitza erabilgarria amaitzean, eguneratze automatikoaren teknologia ezartzen da iturburuko TLS zerbitzarian.

Sortzeko, ez duzu eskuzko eragiketarik egin beharrik edo scriptik exekutatu beharrik: gako pribatua behar duen zerbitzari autoritarioa da, gako zaharraren bizitza erabilgarria amaitu aurretik, gunearen iturburu TLS zerbitzaria atzitu eta tarteko gakoa sortzen du hurrengo denbora laburrean. markoa.

Egiaztagiriak onartzen dituzten arakatzaileak TLS luzapenarena eratorritako ziurtagiriak fidagarritzat joko dituzte.

Adibidez, zehaztutako luzapenaren laguntza dagoeneko gehitu da Firefox-en gaueko bertsioetan eta beta bertsioetan eta bertan aktiba daiteke buruz: konfigurazioa ezarpenak aldatzen "Security.tls.enable_delegated_credentials".

Azaroaren erdialdean, Firefox probako erabiltzaileen ehuneko jakin baten artean, esperimentu bat ere aurreikusten da "TLS Delegatutako Kredentzialen Esperimentua", test eskaera bat bidaliko zaio Cloudflare DC zerbitzariari TLS luzapen berriaren kalitatea probatzeko.

TLSren eskuordetutako egiaztagiriak Fizz liburutegian ere sartzen dira TLS 1.3 ezartzerakoan.

TLSren eskuordetutako kredentzialen zehaztapena Interneteko protokoloak eta arkitektura garatzen ari den IETF (Internet Engineering Task Force) batzordeari aurkeztu zitzaion, eta zirriborro fasean dago, Interneteko estandarra dela esanez. Luzapena TLS v1.3-rekin soilik erabil daiteke. Bitarteko gakoak sortzeko, TLS ziurtagiria lortu behar da, X.509 luzapen berezia biltzen duena, orain arte DigiCert ziurtagiri-agintaritzak soilik onartzen duena.

Si horri buruz gehiago jakin nahi duzu, kontsulta dezakezu honako esteka.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.