A Mozilla, a Cloudflare és a Facebook bejelentette közösen az új TLS Delegated Credentials kiterjesztésHogy megoldja a tanúsítványokkal kapcsolatos problémát egy webhelyhez való hozzáférés megszervezésével egy tartalomszolgáltató hálózaton keresztül. A tanúsító hatóságok által kiadott tanúsítványok hosszú érvényességi idővel rendelkeznek, ami megnehezíti a webhelyhez való hozzáférés megszervezését egy harmadik fél által nyújtott szolgáltatás révén, amelynek nevében biztonságos kapcsolatot kell létrehozni, mivel a tanúsítvány átadása egy webhelyről külső szolgáltatáshoz további biztonsági kockázatokat jelent.
Az új kiterjesztés is hasznos lehet olyan helyek számára, amelyek munkáját nagy elosztott infrastruktúra biztosítja nagyszámú terheléselosztóval. A delegált hitelesítő adatok segítenek elkerülni az elsődleges tanúsítványok magánkulcsainak másolatait az egyes tartalomfeltöltési csomópontokban.
A klasszikus megközelítéssel a HTTPS-forgalom lebonyolításában részt vevő bármely szerver elleni sikeres támadás a teljes tanúsítvány veszélyeztetéséhez vezet. A magánkulcsok tartalomszolgáltató hálózatokba történő átvitele esetén az adatvesztés veszélye fenyeget a személyzet általi szabotázs, speciális szolgáltatási műveletek vagy a CDN infrastruktúra megsértése következtében.
Ha a kulcs elvesztése észrevétlen marad, a kulcs hozzáférők hosszú ideig képesek csendben belépni a webhely forgalmába (MITM), mivel a tanúsítványok érvényességi idejét hónapokban és években számolják.
A Cloudflare speciális kulcsszervereket használhat akik a webhely tulajdonosának oldalán dolgoznak a tanúsítványkulcsok védelme érdekében, de munka ebben az üzemmódban észrevehető késéseket generál a forgalom átadásában, csökkenti a megbízhatóságot egy további kapcsolat megjelenése miatt, és kifinomult infrastruktúra telepítését igényli.
A javasolt TLS kiterjesztés bevezet egy további köztes magánkulcsot, cÉrvényessége órákra vagy több napra (legfeljebb 7 napra) korlátozódik. Ez a kulcs a tanúsító központ által kiadott tanúsítvány alapján jön létre és lehetővé teszi, hogy a tartalomszolgáltatásoktól származó eredeti tanúsítvány titkos kulcsát titokban tartsa, mivel csak ideiglenes, rövid élettartamú tanúsítványt biztosít.
A hozzáférési problémák elkerülése érdekében, amint a köztes kulcs hasznos élettartama lejárt, egy automatikus frissítési technológia kerül bevezetésre a forrás TLS-kiszolgáló oldalán.
A generáláshoz nem szükséges manuális műveleteket végrehajtania vagy parancsfájlokat futtatnia: egy hiteles kiszolgálónak, amelyhez privát kulcsra van szükség, a régi kulcs élettartamának lejárta előtt hozzáfér a hely forrás TLS-kiszolgálójához, és létrehoz egy köztes kulcsot a következő rövidhez időkeret.
A hitelesítő adatokat támogató böngészők a TLS kiterjesztés az ilyen származékos tanúsítványokat megbízhatónak fogják felfogni.
Például a megadott kiterjesztés támogatása már hozzá lett adva a Firefox éjszakai buildjeihez és bétaverzióihoz, és itt aktiválható erről: config beállítások módosítása "Security.tls.enable_delegated_credentials".
November közepén a Firefox próbajátékainak bizonyos százaléka között kísérletet is terveznek "TLS Delegated Credentials Experiment", amelyben tesztkérést küldünk a Cloudflare DC szervernek az új TLS kiterjesztés minőségének tesztelésére.
A TLS Delegated Credentials szintén beépül a Fizz könyvtárba a TLS 1.3 bevezetésével.
A TLS Delegated Credentials specifikációt az Internet protokolljait és architektúráját fejlesztő IETF (Internet Engineering Task Force) bizottság elé terjesztették, amely tervezési szakaszban van, és azt állítja, hogy az internetes szabvány. A kiterjesztés csak a TLS v1.3 verzióval használható. A köztes kulcsok előállításához TLS-tanúsítványt kell beszerezni, amely tartalmazza a speciális X.509 kiterjesztést, amelyet eddig csak a DigiCert tanúsító hatóság támogatott.
Si többet szeretne tudni róla, konzultálhat a következő link.