Mozilla, Cloudflare және Facebook TLS кеңейтімін ұсынады

Өкілетті өкілеттіктер телеметриясы

Mozilla, Cloudflare және Facebook жариялады бірлесіп жаңа TLS өкілетті тіркелгі деректерін кеңейту, Que мазмұнды жеткізу желісі арқылы сайтқа кіруді ұйымдастыру арқылы сертификаттармен проблеманы шешеді. Сертификаттау жөніндегі органдар берген сертификаттардың ұзақ мерзімділігі бар, бұл сайтқа үшінші тарап қызметі арқылы кіруді ұйымдастыруды қиындатады, оның атынан сенімді байланыс орнатылуы керек, өйткені сертификат сайттан ауысқан сәттен бастап. сыртқы қызмет қосымша қауіпсіздік тәуекелдерін тудырады.

Жаңа кеңейтім жұмысы үлестірілген инфрақұрылыммен қамтамасыз етілген сайттар үшін пайдалы болуы мүмкін жүктеме теңгергіштерінің көптігі. Өкілеттік берілген тіркелгі деректері әрбір мазмұн жүктеу түйінінде бастапқы сертификаттардың жеке кілттерінің көшірмелерін сақтамауға көмектеседі.

Классикалық тәсілмен HTTPS трафигін жеткізуге қатысатын кез-келген серверлерге сәтті шабуыл бүкіл сертификаттың ымырасына әкеледі. Жеке кілттерді контентті жеткізу желілеріне беру кезінде персоналдың диверсиясы, арнайы қызмет әрекеттері немесе CDN инфрақұрылымының ымырасы нәтижесінде деректерді жоғалту қаупі бар.

Егер кілттердің жоғалуы анықталмаса, кілттерге қол жеткізушілер ұзақ уақыт бойы сайт трафигіне (MITM) кіре алады, өйткені сертификаттардың жарамдылық мерзімі айлармен және жылдармен есептеледі.

Cloudflare арнайы кілт серверлерін қолдана алады сайт иесі жағында жұмыс істейтіндер сертификат кілттерін қорғау үшін, бірақ жұмыс бұл режимде трафиктің жеткізілуінде айтарлықтай кешігу пайда болады, қосымша сілтеменің пайда болуына байланысты сенімділікті төмендетеді және күрделі инфрақұрылымды орналастыруды талап етеді.

Ұсынылған TLS кеңейтімі қосымша аралық жеке кілтті ұсынады, сОның қолданылу мерзімі сағатпен немесе бірнеше күнмен шектеледі (7 күннен аспайды). Бұл кілт сертификаттау орталығы берген сертификат негізінде жасалады және қысқа мерзімді уақытша сертификатпен қамтамасыз ету арқылы түпнұсқа сертификаттың құпия кілтін мазмұнды жеткізу қызметтерінен құпия ұстауға мүмкіндік береді.

Аралық кілт өзінің қызмет ету мерзімі аяқталғаннан кейін қатынауды болдырмау үшін TLS серверінің бастапқы жағында автоматты түрде жаңарту технологиясы енгізілген.

Жасау үшін сізге қолмен жұмыс жасаудың немесе сценарийлерді іске қосудың қажеті жоқ: ескі кілттің қызмет ету мерзімі аяқталғанға дейін жеке кілт қажет болатын беделді сервер, сайттың TLS серверінің қайнар көзіне кіріп, келесі қысқа уақытқа аралық кілт жасайды. Уақыт шеңберінде.

Тіркелгі деректерін қолдайтын браузерлер TLS кеңейтілімі олар туынды сертификаттарды сенімді деп санайды.

Мысалы, көрсетілген кеңейтімді қолдау Firefox-тың түнгі құрастыруларына және бета-нұсқаларына қосылып үлгерген туралы: config параметрлерді өзгерту «Security.tls.enable_delegated_credentials».

Қарашаның ортасында Firefox сынақ қолданушыларының белгілі бір пайызы арасында сонымен қатар эксперимент жоспарланған Жаңа TLS кеңейтілуінің сапасын тексеру үшін Cloudflare DC серверіне тестілік сұраныс жіберілетін «TLS өкілетті куәліктер тәжірибесі».

TLS-тің сенім білдірілген құжаттары Fizz кітапханасында TLS 1.3 енгізіле отырып енгізілген.

TLS өкілеттіктері туралы анықтама Интернет протоколдары мен архитектурасын дамытатын IETF (Internet Engineering Task Force) комитетіне жіберілді және Интернет стандартымын деп жобалау сатысында тұр. Кеңейтімді тек TLS v1.3 нұсқасында пайдалануға болады. Аралық кілттерді құру үшін TLS сертификатын алу керек, оған арнайы X.509 кеңейтімі кіреді, оны осы уақытқа дейін DigiCert сертификат органы қолдайды.

Si сіз бұл туралы көбірек білгіңіз келеді, сіз кеңес ала аласыз келесі сілтеме.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.