Mozilla, Cloudflare et Facebook annoncés conjointement la nouvelle extension des informations d'identification déléguées TLS, qui résout le problème des certificats en organisant l'accès à un site via un réseau de diffusion de contenu. Les certificats délivrés par les autorités de certification ont une longue durée de validité, ce qui rend difficile l'organisation de l'accès au site via un service tiers, pour le compte duquel une connexion sécurisée doit être établie, depuis le transfert du certificat d'un site vers un extérieur service crée des risques de sécurité supplémentaires.
La nouvelle extension aussi peut être utile pour les sites dont le travail est assuré par une grande infrastructure distribuée avec un grand nombre d'équilibreurs de charge. Les informations d'identification déléguées aideront à éviter de stocker des copies des clés privées des certificats principaux à chaque nœud de téléchargement de contenu.
Avec l'approche classique, une attaque réussie sur l'un des serveurs impliqués dans la livraison du trafic HTTPS conduira à la compromission de l'ensemble du certificat. Dans le cas du transfert de clé privée vers des réseaux de distribution de contenu, il existe des menaces de perte de données suite à un sabotage par le personnel, à des actions de service spéciales ou à une compromission de l'infrastructure CDN.
Si la perte de clé n'est pas détectée, les accesseurs clés pourront entrer silencieusement dans le trafic du site (MITM) pendant une longue période, car la période de validité des certificats est calculée en mois et en années.
Cloudflare peut utiliser des serveurs de clés spéciaux qui travaillent du côté du propriétaire du site pour protéger les clés de certificat, mais travaille dans ce mode, il génère des retards notables dans la livraison du trafic, réduit la fiabilité en raison de l'apparition d'un lien supplémentaire et nécessite le déploiement d'une infrastructure sophistiquée.
L'extension TLS proposée introduit une clé privée intermédiaire supplémentaire, cSa validité est limitée à quelques heures ou plusieurs jours (pas plus de 7 jours). Cette clé est généré sur la base du certificat émis par le centre de certification et vous permet de garder secrète la clé privée du certificat d'origine des services de livraison de contenu en fournissant uniquement un certificat temporaire avec une courte durée de vie.
Pour éviter les problèmes d'accès une fois que la clé intermédiaire a atteint la fin de sa vie utile, une technologie de mise à jour automatique est implémentée côté serveur TLS source.
Para generar, no necesita realizar operaciones manuales o ejecutar scripts: un servidor autorizado que necesita una clave privada, antes de que expire la vida útil de la clave anterior, accede al servidor TLS de origen del sitio y genera una clave intermedia para el próximo corto période de temps.
Les navigateurs prenant en charge les informations d'identification de l'extension TLS ils percevront ces certificats dérivés comme fiables.
Par exemple, la prise en charge de l'extension spécifiée a déjà été ajoutée aux versions nocturnes et aux versions bêta de Firefox et peut être activée dans à propos de: config modification des paramètres "Security.tls.enable_delegated_credentials".
À la mi-novembre, parmi un certain pourcentage d'utilisateurs d'essai de Firefox, une expérimentation est également prévue "TLS Delegated Credentials Experiment", dans lequel une demande de test sera envoyée au serveur Cloudflare DC pour tester la qualité de la nouvelle extension TLS.
Les informations d'identification déléguées TLS sont également intégrées à la bibliothèque Fizz avec l'implémentation de TLS 1.3.
La spécification TLS Delegated Credentials a été soumise au comité IETF (Internet Engineering Task Force), qui développe les protocoles et l'architecture d'Internet, et est au stade de projet, prétendant être la norme Internet. L'extension ne peut être utilisée qu'avec TLS v1.3. Pour générer les clés intermédiaires, un certificat TLS doit être obtenu, qui inclut l'extension spéciale X.509, qui jusqu'à présent n'est prise en charge que par l'autorité de certification DigiCert.
Si vous voulez en savoir plus, vous pouvez consulter le lien suivant.