Mozilla, Cloudflare dan Facebook diumumkan bersama ekstensi Kredensial Terdelegasi TLS yang baruBahwa memecahkan masalah sertifikat dengan mengatur akses ke situs melalui jaringan pengiriman konten. Sertifikat yang dikeluarkan oleh otoritas sertifikasi memiliki masa berlaku yang lama, yang membuatnya sulit untuk mengatur akses ke situs melalui layanan pihak ketiga, yang atas namanya koneksi aman harus dibuat, karena transfer sertifikat dari situs ke luar layanan menciptakan risiko keamanan tambahan.
Ekstensi baru juga dapat berguna untuk situs yang pekerjaannya disediakan oleh infrastruktur terdistribusi besar dengan sejumlah besar penyeimbang beban. Kredensial yang didelegasikan akan membantu menghindari penyimpanan salinan kunci privat dari sertifikat utama di setiap node upload konten.
Dengan pendekatan klasik, serangan yang berhasil pada salah satu server yang terlibat dalam pengiriman lalu lintas HTTPS akan menyebabkan seluruh sertifikat disusupi. Dalam kasus transfer kunci privat ke jaringan pengiriman konten, terdapat ancaman kehilangan data sebagai akibat sabotase oleh personel, tindakan layanan khusus atau penyusupan infrastruktur CDN.
Jika kehilangan kunci tidak diketahui, pengakses kunci akan dapat diam-diam memasuki lalu lintas situs (MITM) untuk waktu yang lama, karena masa berlaku sertifikat dihitung dalam bulan dan tahun.
Cloudflare dapat menggunakan server kunci khusus yang bekerja di pihak pemilik situs untuk melindungi kunci sertifikat, tapi bekerja dalam mode ini, hal itu menghasilkan penundaan yang nyata dalam pengiriman lalu lintas, mengurangi keandalan karena munculnya tautan tambahan dan membutuhkan penyebaran infrastruktur yang canggih.
Ekstensi TLS yang diusulkan memperkenalkan kunci privat perantara tambahan, cValiditasnya dibatasi hingga beberapa jam atau beberapa hari (tidak lebih dari 7 hari). Kunci ini dihasilkan berdasarkan sertifikat yang dikeluarkan oleh pusat sertifikasi dan memungkinkan Anda untuk menjaga kerahasiaan kunci privat sertifikat asli dari layanan pengiriman konten dengan hanya memberikan sertifikat sementara dengan masa pakai yang singkat.
Untuk menghindari masalah akses setelah kunci perantara mencapai akhir masa pakainya, teknologi pembaruan otomatis diterapkan pada sisi server sumber TLS.
Untuk membuat, Anda tidak perlu melakukan operasi manual atau menjalankan skrip: server otoritatif yang memerlukan kunci pribadi, sebelum berakhirnya masa manfaat kunci lama, mengakses server TLS yang berasal dari situs dan membuat kunci perantara untuk waktu yang singkat berikutnya bingkai.
Browser yang mendukung kredensial dari ekstensi TLS mereka akan menganggap sertifikat turunan tersebut dapat diandalkan.
Misalnya, dukungan untuk ekstensi yang ditentukan telah ditambahkan ke versi nightly build dan beta Firefox dan dapat diaktifkan di tentang: konfigurasi mengubah pengaturan "Security.tls.enable_delegated_credentials".
Pada pertengahan November, di antara persentase tertentu pengguna uji coba Firefox, percobaan juga direncanakan "Eksperimen Kredensial Terdelegasi TLS", di mana permintaan pengujian akan dikirim ke server Cloudflare DC untuk menguji kualitas ekstensi TLS baru.
Kredensial Delegasi TLS juga dibangun ke dalam pustaka Fizz dengan implementasi TLS 1.3.
Spesifikasi TLS Delegated Credentials telah diserahkan ke komite IETF (Internet Engineering Task Force), yang mengembangkan protokol dan arsitektur Internet, dan sedang dalam tahap draf, mengklaim sebagai standar Internet. Ekstensi hanya dapat digunakan dengan TLS v1.3. Untuk membuat kunci perantara, sertifikat TLS harus diperoleh, yang menyertakan ekstensi X.509 khusus, yang hingga saat ini hanya didukung oleh otoritas sertifikat DigiCert.
Si Anda ingin tahu lebih banyak tentang itu, Anda bisa berkonsultasi link berikut.