Mozilla ، Cloudflare و Facebook پسوند TLS را معرفی می کنند

اعتبارسنجی تفویض شده

موزیلا ، Cloudflare و فیس بوک اعلام کردند مشترکاً پسوند جدید اعتبار TLSکه با سازماندهی دسترسی به سایت از طریق شبکه تحویل محتوا ، مشکل را با گواهینامه ها حل می کند. گواهینامه های صادر شده توسط مقامات صدور گواهینامه دارای مدت اعتبار طولانی هستند که از زمان انتقال گواهینامه از یک سایت به خارج ، سازماندهی دسترسی به سایت از طریق یک سرویس شخص ثالث ، که از طرف آن باید اتصال ایمن برقرار شود ، دشوار است. خدمات خطرات امنیتی اضافی ایجاد می کند.

پسوند جدید نیز می تواند برای سایتهایی مفید باشد که کار آنها از طریق یک زیرساخت توزیع شده گسترده فراهم شده است با تعداد زیادی بالانس کننده بار. اعتبارنامه های تفویض شده به شما کمک می کند تا کپی کلیدهای خصوصی گواهینامه های اصلی در هر گره بارگذاری محتوا ذخیره نشود.

با رویکرد کلاسیک ، حمله موفقیت آمیز به هر یک از سرورهایی که در ارائه ترافیک HTTPS نقش دارند ، منجر به به خطر افتادن کل گواهی خواهد شد. در مورد انتقال کلید خصوصی به شبکه های تحویل محتوا ، تهدید به از دست رفتن داده ها در نتیجه کارشکنی توسط کارکنان ، اقدامات سرویس ویژه یا به خطر انداختن زیرساخت های CDN وجود دارد.

اگر فقدان کلید شناسایی نشود ، دسترسی کنندگان کلید می توانند به مدت طولانی در سکوت به ترافیک سایت (MITM) وارد شوند ، زیرا دوره اعتبار گواهینامه ها در ماه و سال محاسبه می شود.

Cloudflare می تواند از سرورهای کلیدی ویژه استفاده کند که در سمت صاحب سایت کار می کنند برای محافظت از کلیدهای گواهیاما کار کن در این حالت تأخیرهای قابل توجهی در تحویل ترافیک ایجاد می کند ، به دلیل ظاهر شدن یک پیوند اضافی ، قابلیت اطمینان را کاهش می دهد و نیاز به استقرار یک زیرساخت پیچیده دارد.

پسوند پیشنهادی TLS یک کلید خصوصی میانی اضافی را معرفی می کند ، cاعتبار آن به چند ساعت یا چند روز محدود می شود (بیش از 7 روز). این کلید براساس گواهی صادر شده توسط مرکز صدور گواهینامه تولید می شود و به شما امکان می دهد کلید خصوصی گواهینامه اصلی را از خدمات تحویل محتوا با ارائه فقط یک گواهی موقت با یک عمر کوتاه مخفی نگه دارید.

برای جلوگیری از مشکلات دسترسی پس از پایان کلید میانبر به عمر مفید ، یک فناوری به روزرسانی خودکار در سمت سرور منبع TLS اجرا می شود.

برای تولید ، نیازی به انجام عملیات دستی یا اجرای اسکریپت ها نیست: یک سرور معتبر که به کلید خصوصی احتیاج دارد ، قبل از انقضا عمر مفید کلید قدیمی ، به سرور TLS مبدأ سایت دسترسی پیدا کرده و برای مدت زمان کوتاه بعدی یک کلید میانی تولید می کند قاب

مرورگرهایی که از اطلاعات کاربری پشتیبانی می کنند از پسوند TLS آنها چنین گواهینامه های مشتق شده را قابل اعتماد می دانند.

به عنوان مثال ، پشتیبانی از برنامه افزودنی مشخص شده قبلاً به نسخه های شبانه و نسخه های بتا Firefox اضافه شده است و می تواند در درباره: پیکربندی تغییر تنظیمات "Security.tls.enable_delegated_credentials".

در اواسط ماه نوامبر ، در میان درصد مشخصی از کاربران آزمایشی فایرفاکس ، یک آزمایش نیز برنامه ریزی شده است "TLS Delegated Credentials Experiment" ، که در آن یک درخواست تست برای آزمایش کیفیت پسوند جدید TLS به سرور Cloudflare DC ارسال می شود.

اعتبارنامه های تفویض شده TLS نیز با اجرای TLS 1.3 در کتابخانه Fizz تعبیه شده است.

مشخصات TLS Delegated Credentials به کمیته IETF (گروه ویژه مهندسی اینترنت) ارسال شد که در حال توسعه پروتکل ها و معماری اینترنت است و در حال پیش نویس است و ادعا می کند استاندارد اینترنت است. پسوند فقط با TLS v1.3 قابل استفاده است. برای تولید کلیدهای میانی ، باید یک گواهینامه TLS تهیه شود که شامل پسوند ویژه X.509 باشد ، که تاکنون فقط توسط مرجع صدور گواهینامه DigiCert پشتیبانی می شود.

Si شما می خواهید در مورد آن بیشتر بدانید، می توانید مشورت کنید لینک زیر


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.