Mozilla, Cloudflare ja Facebook ilmoittivat yhdessä uusi TLS Delegated Credentials -laajennusEttä ratkaisee varmenteiden ongelman järjestämällä pääsyn sivustolle sisällönjakoverkon kautta. Sertifiointiviranomaisten myöntämillä varmenteilla on pitkä voimassaoloaika, mikä vaikeuttaa pääsyn sivustoon järjestämistä kolmannen osapuolen palvelun kautta, jonka puolesta on luotava suojattu yhteys, koska varmenteen siirto sivustolta ulkopuoliselle palvelulle aiheuttaa ylimääräisiä turvallisuusriskejä.
Uusi laajennus myös voi olla hyödyllinen sivustoille, joiden työn tarjoaa suuri hajautettu infrastruktuuri suurella määrällä kuorman tasauslaitteita. Delegoidut tunnistetiedot auttavat välttämään ensisijaisten varmenteiden yksityisten avainten kopioiden tallentamista kuhunkin sisällön lataussolmuun.
Klassisen lähestymistavan myötä onnistunut hyökkäys HTTPS-liikenteen toimittamiseen osallistuville palvelimille johtaa koko varmenteen vaarantumiseen. Kun siirretään yksityisiä avaimia sisällönjakeluverkkoihin, uhkaa tietojen menetys henkilöstön sabotoinnin, erityispalveluiden toiminnan tai CDN-infrastruktuurin vaarantumisen seurauksena.
Jos avaimen menetystä ei havaita, avainkäyttäjät voivat siirtyä hiljaa pitkään MITM-sivustoliikenteeseen, koska varmenteiden voimassaoloaika lasketaan kuukausina ja vuosina.
Cloudflare voi käyttää erityisiä avainpalvelimia jotka työskentelevät sivuston omistajan puolella suojaamaan varmenteen avaimet, mutta toimi tässä tilassa se aiheuttaa huomattavia viivästyksiä liikenteen toimittamisessa, vähentää luotettavuutta lisälinkin näyttämisen vuoksi ja vaatii hienostuneen infrastruktuurin käyttöönottoa.
Ehdotettu TLS-laajennus ottaa käyttöön ylimääräisen välisen yksityisen avaimen, cSen voimassaolo on rajoitettu tunteihin tai useaan päivään (enintään 7 päivään). Tämä avain luodaan sertifiointikeskuksen myöntämän varmenteen perusteella ja voit pitää alkuperäisen varmenteen yksityisen avaimen sisällönjakelupalveluista salaisena tarjoamalla vain väliaikaisen varmenteen, jolla on lyhyt käyttöikä.
Välitysavainten välttämiseksi sen jälkeen, kun väliavain on saavuttanut käyttöikänsä, lähde-TLS-palvelinpuolella on automaattinen päivitystekniikka.
Luomiseksi sinun ei tarvitse suorittaa manuaalisia toimintoja tai suorittaa komentosarjoja: auktoriteettipalvelin, joka tarvitsee yksityisen avaimen, ennen vanhan avaimen käyttöiän päättymistä käyttää sivuston lähde-TLS-palvelinta ja luo väliavaimen seuraavaa lyhyttä varten aikaikkuna.
Selaimet, jotka tukevat kirjautumistietoja TLS-laajennuksen he pitävät tällaisia johdannaisvarmenteita luotettavina.
Esimerkiksi määritetyn laajennuksen tuki on jo lisätty Firefoxin öisiin koontiversioihin ja beetaversioihin, ja se voidaan aktivoida about: config asetusten muuttaminen "Security.tls.enable_delegated_credentials".
Marraskuun puolivälissä tietyn prosentin Firefox-kokeilun käyttäjien joukossa suunnitteilla on myös koe "TLS Delegated Credentials Experiment", jossa testauspyyntö lähetetään Cloudflare DC -palvelimelle uuden TLS-laajennuksen laadun testaamiseksi.
TLS Delegated Credentials on myös sisäänrakennettu Fizz-kirjastoon ottamalla käyttöön TLS 1.3.
TLS Delegated Credentials -määrittely on toimitettu IETF (Internet Engineering Task Force) -komitealle, joka kehittää Internetin protokollia ja arkkitehtuuria, ja joka on luonnosvaiheessa ja väittää olevansa Internet-standardi. Laajennusta voidaan käyttää vain TLS v1.3: n kanssa. Väliavainten luomiseksi on hankittava TLS-varmenne, joka sisältää erityisen X.509-laajennuksen, jota toistaiseksi tukee vain DigiCert-varmentaja.
Si haluat tietää enemmän siitä, voit kuulla seuraava linkki.