הודיעו על Mozilla, Cloudflare ו- Facebook יַחַד הרחבה האישורים החדשה של TLSכי פותר את הבעיה באישורים על ידי ארגון הגישה לאתר דרך רשת מסירת תוכן. אישורים שהונפקו על ידי רשויות ההסמכה הם בעלי תקופת תוקף ארוכה, המקשה על ארגון הגישה לאתר באמצעות שירות צד ג ', מטעמו יש ליצור חיבור מאובטח, שכן העברת האישור מאתר. לשירות חיצוני יוצר סיכוני אבטחה נוספים.
התוסף החדש גם כן יכול להיות שימושי עבור אתרים שעבודתם מספקת תשתית מבוזרת גדולה עם מספר גדול של מאזני עומסים. האישורים שהועברו יעזרו להימנע מאחסון עותקים של המפתחות הפרטיים של האישורים הראשיים בכל צומת העלאת תוכן.
לפי הגישה הקלאסית, התקפה מוצלחת על כל אחד מהשרתים המעורבים במסירת תעבורת HTTPS תוביל לפשרה של האישור כולו. במקרה של העברת מפתחות פרטיים לרשתות מסירת תוכן, ישנם איומים על אובדן נתונים כתוצאה מחבלה של אנשי כוח אדם, פעולות של שירותים מיוחדים או פגיעה בתשתית CDN.
אם אובדן המפתח לא יתגלה, גורמי המפתחות יוכלו להיכנס בשקט לתעבורת אתרים (MITM) במשך זמן רב, מכיוון שתקופת התקפות של האישורים מחושבת בחודשים ובשנים.
Cloudflare יכולה להשתמש בשרתי מפתח מיוחדים שעובדים בצד בעל האתר כדי להגן על מפתחות האישורים, אבל עבודה במצב זה הוא מייצר עיכובים ניכרים במסירת התנועה, מפחית אמינות עקב הופעת קישור נוסף ומחייב פריסה של תשתית מתוחכמת.
הרחבת TLS המוצעת מציגה מפתח פרטי ביניים נוסף, גתוקפו מוגבל לשעות או למספר ימים (לא יותר משבעה ימים). המפתח הזה נוצר על בסיס האישור שהונפק על ידי מרכז ההסמכה ומאפשר לך לשמור את המפתח הפרטי של האישור המקורי משירותי מסירת תוכן בסוד על ידי מתן אישור זמני עם אורך חיים קצר בלבד.
כדי להימנע מבעיות גישה לאחר שמפתח הביניים הגיע לסוף חייו השימושיים, טכנולוגיית עדכון אוטומטי מיושמת בצד שרת TLS המקור.
כדי ליצור, אינך צריך לבצע פעולות ידניות או להריץ סקריפטים: שרת סמכותי הזקוק למפתח פרטי, לפני תום חייו השימושיים של המפתח הישן, ניגש לשרת TLS המקורי של האתר ויוצר מפתח ביניים לקצר הבא מסגרת זמן.
הדפדפנים התומכים בתעודות של סיומת TLS הם יראו אישורי נגזרות כאלה אמינים.
לדוגמא, תמיכה בהרחבה שצוינה כבר נוספה לגירסאות לילה ולגרסאות בטא של Firefox וניתן להפעיל אותה אודות: config שינוי הגדרות "Security.tls.enable_delegated_credentials".
באמצע נובמבר, בקרב אחוז מסוים ממשתמשי הניסיון של Firefox, מתוכנן גם ניסוי "ניסוי אישורי אישורי TLS", במסגרתו תישלח בקשת בדיקה לשרת Cloudflare DC לבדיקת איכות הרחבה החדשה של TLS.
אישורי ה- TLS Delegated מובנים גם בספריית Fizz עם הטמעת TLS 1.3.
מפרט אישורי האשראי של TLS הוגש לוועדת IETF (כוח משימה להנדסת אינטרנט), המפתחת את הפרוטוקולים והארכיטקטורה של האינטרנט, ונמצאת בשלב הטיוטה בטענה שהיא תקן האינטרנט. ניתן להשתמש בתוסף עם TLS v1.3. כדי להפיק את מפתחות הביניים יש לקבל אישור TLS הכולל את סיומת ה- X.509 המיוחדת, שעד כה נתמכת רק על ידי רשות האישורים של DigiCert.
Si אתה רוצה לדעת יותר על זה, אתה יכול להתייעץ הקישור הבא.