मोज़िला, क्लाउडफेयर और फेसबुक की घोषणा की संयुक्त रूप से नया टीएलएस प्रत्यायोजित विस्तारकि सामग्री वितरण नेटवर्क के माध्यम से किसी साइट तक पहुंच का आयोजन करके प्रमाण पत्र के साथ समस्या को हल करता है। प्रमाणन अधिकारियों द्वारा जारी किए गए प्रमाण पत्र में वैधता की एक लंबी अवधि होती है, जो तीसरे पक्ष की सेवा के माध्यम से साइट तक पहुंच को व्यवस्थित करना मुश्किल बनाता है, जिसकी ओर से एक सुरक्षित कनेक्शन स्थापित किया जाना चाहिए, क्योंकि किसी साइट से प्रमाण पत्र का स्थानांतरण। बाहरी सेवा अतिरिक्त सुरक्षा जोखिम पैदा करती है।
नया विस्तार भी उन साइटों के लिए उपयोगी हो सकता है जिनका काम एक बड़े वितरित बुनियादी ढांचे द्वारा प्रदान किया गया है बड़ी संख्या में लोड बैलेंसरों के साथ। प्रत्यायित क्रेडेंशियल प्रत्येक सामग्री अपलोड नोड पर प्राथमिक प्रमाणपत्रों की निजी कुंजी की प्रतियां संग्रहीत करने से बचने में मदद करेंगे।
क्लासिक दृष्टिकोण के साथ, HTTPS ट्रैफ़िक देने में शामिल किसी भी सर्वर पर एक सफल हमले से पूरे प्रमाण पत्र का समझौता हो जाएगा। सामग्री वितरण नेटवर्क में निजी चाबियों के हस्तांतरण के मामले में, कर्मियों द्वारा तोड़फोड़, विशेष सेवाओं के कार्यों या सीडीएन बुनियादी ढांचे के समझौते के परिणामस्वरूप डेटा हानि के खतरे हैं।
यदि मुख्य नुकसान को कम किया जाता है, तो कुंजी एक्सेसर्स लंबे समय तक साइट ट्रैफ़िक (MITM) को चुपचाप दर्ज करने में सक्षम होंगे, क्योंकि प्रमाण पत्र की वैधता अवधि की गणना महीनों और वर्षों में की जाती है।
Cloudflare विशेष कुंजी सर्वर का उपयोग कर सकता है जो साइट के स्वामी की ओर काम करते हैं प्रमाणपत्र कुंजियों की सुरक्षा के लिए, लेकिन काम करते हैं इस मोड में यह यातायात के वितरण में ध्यान देने योग्य विलंब उत्पन्न करता है, अतिरिक्त लिंक की उपस्थिति के कारण विश्वसनीयता कम कर देता है और एक परिष्कृत बुनियादी ढांचे की तैनाती की आवश्यकता होती है।
प्रस्तावित टीएलएस विस्तार एक अतिरिक्त मध्यवर्ती निजी कुंजी, सी का परिचय देता हैइसकी वैधता घंटे या कई दिनों (7 दिनों से अधिक नहीं) तक सीमित है। यह कुंजी प्रमाणन केंद्र द्वारा जारी किए गए प्रमाण पत्र के आधार पर उत्पन्न होता है और आपको छोटी उम्र के साथ केवल एक अस्थायी प्रमाण पत्र प्रदान करके सामग्री वितरण सेवाओं से मूल प्रमाण पत्र की निजी कुंजी रखने की अनुमति देता है।
मध्यवर्ती कुंजी के अपने उपयोगी जीवन के अंत तक पहुंचने के बाद पहुंच की समस्याओं से बचने के लिए, स्रोत TLS सर्वर साइड पर एक स्वचालित अपडेट तकनीक लागू की जाती है।
उत्पन्न करने के लिए, आपको मैन्युअल संचालन करने या स्क्रिप्ट चलाने की आवश्यकता नहीं है: एक आधिकारिक सर्वर जिसे एक निजी कुंजी की आवश्यकता होती है, पुरानी कुंजी के उपयोगी जीवन की समाप्ति से पहले, साइट के स्रोत टीएलएस सर्वर तक पहुंचता है और अगले के लिए एक मध्यवर्ती कुंजी बनाता है। कम समय सीमा।
ब्राउज़र जो क्रेडेंशियल्स का समर्थन करते हैं TLS एक्सटेंशन का वे ऐसे व्युत्पन्न प्रमाणपत्रों को विश्वसनीय समझेंगे।
उदाहरण के लिए, निर्दिष्ट विस्तार के लिए समर्थन पहले से ही रात के निर्माण और फ़ायरफ़ॉक्स के बीटा संस्करणों में जोड़ा गया है और इसमें सक्रिय किया जा सकता है के बारे में: विन्यास सेटिंग बदलना "Security.tls.enable_delegated_credentials".
नवंबर के मध्य में, फ़ायरफ़ॉक्स परीक्षण उपयोगकर्ताओं के एक निश्चित प्रतिशत के बीच, एक प्रयोग भी योजनाबद्ध है "टीएलएस डेलीगेटेड क्रेडेंशियल्स एक्सपेरिमेंट", जिसमें नए टीएलएस एक्सटेंशन की गुणवत्ता का परीक्षण करने के लिए क्लाउडफ्लेयर डीसी सर्वर पर एक परीक्षण अनुरोध भेजा जाएगा।
TLS डेलिगेट क्रेडेंशियल्स भी TLS 1.3 के कार्यान्वयन के साथ फ़िज़ लाइब्रेरी में बनाया गया है।
TLS प्रत्यायित क्रेडेंशियल विनिर्देश IETF (इंटरनेट इंजीनियरिंग टास्क फोर्स) समिति को प्रस्तुत किया गया था, जो इंटरनेट के प्रोटोकॉल और वास्तुकला का विकास कर रहा है, और इंटरनेट मानक होने का दावा करते हुए मसौदा चरण में है। एक्सटेंशन का उपयोग केवल TLS v1.3 के साथ किया जा सकता है। मध्यवर्ती कुंजी उत्पन्न करने के लिए, एक टीएलएस प्रमाणपत्र प्राप्त किया जाना चाहिए, जिसमें विशेष X.509 एक्सटेंशन शामिल है, जो अब तक केवल DigiCert प्रमाणपत्र प्राधिकरण द्वारा समर्थित है।
Si आप इसके बारे में अधिक जानना चाहते हैं, आप परामर्श कर सकते हैं निम्नलिखित लिंक।