Mozilla, Cloudflare lan Facebook ngumumake bebarengan ekstensi Kredensial Delegasi TLS anyar, sing ngatasi masalah karo sertifikat kanthi ngatur akses menyang situs liwat jaringan pangiriman konten. Sertifikat sing diterbitake dening pejabat sertifikasi duwe periode validitas sing dawa, saengga angel kanggo ngatur akses menyang situs kasebut liwat layanan pihak katelu, sing jenenge sambungan aman kudu digawe, wiwit transfer sertifikat saka situs menyang layanan njaba nggawe risiko keamanan tambahan.
Ekstensi anyar uga bisa migunani kanggo situs sing gaweyan diwenehake dening prasarana sing akeh disebar kanthi jumlah balancers beban. Kredensial sing didelegasikan bakal mbantu ora nyimpen salinan tombol pribadi sertifikat utama ing saben simpul upload konten.
Kanthi pendekatan klasik, serangan sing sukses ing server apa wae sing melu ngirim lalu lintas HTTPS bakal nyebabake kompromi kabeh sertifikat. Ing kasus transfer kunci pribadi menyang jaringan pangiriman konten, ana ancaman kanggo ngilangi data minangka asil sabotase dening staf, tumindak layanan khusus, utawa kompromi infrastruktur CDN.
Yen kapitunan tombol ora dideteksi, aksesoris kunci bakal bisa meneng-menengan mlebu lalu lintas situs (MITM) suwe-suwe, amarga periode validitas sertifikat diitung ing pirang-pirang wulan lan taun.
Cloudflare bisa nggunakake server kunci khusus sing makarya ing pihak pemilik situs kanggo nglindhungi tombol sertifikat, nanging kerja ing mode iki ngasilake wektu tundha nalika ngirim lalu lintas, nyuda linuwih amarga ana link tambahan lan mbutuhake penyebaran infrastruktur sing canggih.
Ekstensi TLS sing diusulake ngenalake kunci pribadi menengah tambahan, cValiditas diwatesi nganti pirang-pirang jam utawa pirang-pirang dina (ora luwih saka 7 dina). Tombol iki digawe adhedhasar sertifikat sing diterbitake dening pusat sertifikasi lan ngidini sampeyan ndhelikake kunci pribadi sertifikat asli saka rahasia layanan pangiriman konten kanthi mung menehi sertifikat sementara kanthi umur sing cendhak.
Kanggo ngindhari masalah akses sawise tombol penengah wis pungkasan urip migunani, teknologi nganyari otomatis dileksanakake ing sisih server TLS sumber.
Kanggo ngasilake, sampeyan ora prelu nindakake operasi manual utawa mbukak skrip: server berwibawa sing butuh kunci pribadi, sadurunge kadaluwarsa kunci kunci lawas, ngakses server TLS sumber situs lan nggawe kunci penengah kanggo cekak sabanjure pigura wektu.
Browser sing ndhukung kredensial saka ekstensi TLS dheweke bakal nganggep sertifikat turunan kasebut bisa dipercaya.
Contone, dhukungan kanggo ekstensi sing wis ditemtokake wis ditambahake ing versi Firefox lan beta versi wengi lan bisa diaktifake ing babagan: config ngganti setelan "Security.tls.enable_delegated_credentials".
Ing pertengahan November, ing antarane persentase pangguna nyoba Firefox, eksperimen uga direncanakake "Eksperimen Kredensial Delegasi TLS", ing endi panjaluk tes bakal dikirim menyang server Cloudflare DC kanggo nyoba kualitas ekstensi TLS anyar.
Kredensial Delegasi TLS uga dibangun ing perpustakaan Fizz kanthi implementasi TLS 1.3.
Spesifikasi Kredensial Delegasi TLS diajukake menyang panitia IETF (Pasukan Tugas Teknik Internet), sing ngembangake protokol lan arsitektur Internet, lan saiki wis ana ing tahap konsep, sing ngaku dadi standar Internet. Ekstensi kasebut mung bisa digunakake karo TLS v1.3. Kanggo ngasilake tombol penengah, sertifikat TLS kudu dipikolehi, sing kalebu ekstensi X.509 khusus, sing nganti saiki mung didhukung dening otoritas sertifikat DigiCert.
Si sampeyan pengin ngerti luwih lengkap babagan iki, sampeyan bisa takon link ing ngisor iki.
Dadi pisanan komentar