Mozilla, Cloudflare a Facebook stellen d'TLS Extensioun vir

Delegéiert Umeldungsinformatioun Telemetrie

Mozilla, Cloudflare a Facebook annoncéiert gemeinsam déi nei TLS Delegéiert Credentials Extensioun, et léist de Problem mat Zertifikaten andeems en Zougang zu engem Site duerch en Inhaltliwwerungsnetz organiséiert. Zertifikater déi vun Zertifizéierungsautoritéiten ausgestallt goufen hunn eng laang Gültegkeetsperiod, wat et schwéier mécht den Zougang zum Site duerch en Drëtt-Partei-Service z'organiséieren, an deem säin Numm eng sécher Verbindung muss etabléiert ginn, well den Transfert vum Zertifika vun engem Site op en Aussen Service kreéiert zousätzlech Sécherheetsrisiken.

Déi nei Extensioun och ka nëtzlech si fir Site, deenen hir Aarbecht vun enger grousser verdeelt Infrastruktur zur Verfügung gestallt gëtt mat enger grousser Zuel vu Belaaschtungsausgläicher. Déi delegéiert Umeldungsinformatioune hëllefen vermeiden Kopie vun de private Schlëssele vun de Primärzertifikater bei all Inhalt eroplueden Node späicheren.

Mat der klassescher Approche, eng erfollegräich Attack op ee vun de Server, déi beim Liwwerung vum HTTPS-Traffic involvéiert sinn, féiert zum Kompromiss vum ganze Zertifika. Am Fall vu privaten Schlësseltransfer an Inhalter Liwwernetzwerke ginn et Menacë vum Datenverloscht als Resultat vu Sabotage vum Personal, speziellen Serviceaktiounen oder Kompromësser vun der CDN Infrastruktur.

Wann de Schlësselverloscht net detektéiert gëtt, kënnen d'Schlësselaccessore laang an de Site Traffic (MITM) agoen, well d'Gëltegkeetsperiod vun den Zertifikaten a Méint a Joer berechent gëtt.

Cloudflare ka speziell Schlësselservere benotzen déi um Site Besëtzer Säit schaffen fir Zertifikatschlësselen ze schützen, awer schaffen an dësem Mode generéiert et bemierkbar Verspéidungen an der Liwwerung vum Verkéier, reduzéiert Zouverlässegkeet wéinst der Erscheinung vun engem zousätzleche Link a erfuerdert den Asaz vun enger sophistikéierter Infrastruktur.

Déi proposéiert TLS Extensioun féiert en zousätzlechen Zwëschen privat Schlëssel vir, cSeng Validitéit ass limitéiert op Stonnen oder e puer Deeg (net méi wéi 7 Deeg). Dëse Schlëssel gëtt op Basis vum Zertifika generéiert vum Zertifizéierungszentrum ausgestallt an erlaabt Iech de private Schlëssel vum Original Zertifika vun Inhalter Liwwerungs Servicer geheim ze halen andeems Dir nëmmen en temporäre Certificat mat enger kuerzer Liewensdauer liwwert.

Fir Zougangsprobleemer ze vermeiden nodeems den Zwëscher Schlëssel um Enn vu senger nëtzlecher Liewensdauer erreecht ass, gëtt eng automatesch Update Technologie op der Quell TLS Server Säit implementéiert.

Fir ze generéieren, braucht Dir keng manuell Operatiounen auszeféieren oder Scripte auszeféieren: en autoritäre Server deen e private Schlëssel brauch, ier d'Verfallszäit vum alen Schlëssel seng nëtzlech Liewensdauer ass, geet op de Site TLS Server a generéiert en Zwëscher Schlëssel fir déi nächst kuerz Zäit. Kader.

D'Browser déi d'Umeldunge ënnerstëtzen vun der TLS Extensioun si wäerten esou derivéiert Zertifikater als zouverléisseg gesinn.

Zum Beispill ass d'Ënnerstëtzung fir déi spezifizéiert Extensioun scho bei Nightly Builds a Beta Versioune vu Firefox bäigefüügt a kann aktivéiert ginn iwwer: config Astellungen änneren "Security.tls.enable_delegated_credentials".

Mëtt November, ënner engem gewësse Prozentsaz vu Firefox Testbenotzer, en Experiment ass och geplangt "TLS Delegated Credentials Experiment", an deem eng Testufro un de Cloudflare DC Server geschéckt gëtt fir d'Qualitéit vun der neier TLS Extensioun ze testen.

D'TLS Delegéiert Credentials sinn och an der Fizz Bibliothéik mat der Ëmsetzung vun TLS 1.3 gebaut.

D'TLS Delegéiert Credentials Spezifikatioun gouf dem IETF (Internet Engineering Task Force) Comité ofginn, deen d'Protokoller an d'Architektur vum Internet entwéckelt, an an der Entworfstadium ass, behaapt den Internetstandard ze sinn. D'Extensioun kann nëmme mat TLS v1.3 benotzt ginn. Fir déi Zwëscheschlësselen ze generéieren, muss en TLS Zertifika kritt ginn, deen déi speziell X.509 Extensioun enthält, déi bis elo nëmme vun der DigiCert Zertifika Autoritéit ënnerstëtzt gëtt.

Si Dir wëllt méi doriwwer gewuer ginn, kënnt Dir consultéieren de folgende Link.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.