Paskelbta „Mozilla“, „Cloudflare“ ir „Facebook“ kartu naujasis „TLS Delegated Credentials“ plėtinysKad išsprendžia sertifikatų problemą organizuodamas prieigą prie svetainės per turinio pristatymo tinklą. Sertifikavimo institucijų išduoti sertifikatai turi ilgą galiojimo laiką, todėl sunku organizuoti patekimą į svetainę per trečiųjų šalių tarnybą, kurios vardu turi būti užmegztas saugus ryšys, nes pažymos perkėlimas iš svetainės į išorę paslauga sukuria papildomą saugumo riziką.
Naujas pratęsimas taip pat gali būti naudinga svetainėms, kurių darbą teikia didelė paskirstyta infrastruktūra su daugybe apkrovos balansatorių. Perduoti kredencialai padės išvengti pirminių sertifikatų privačių raktų kopijų saugojimo kiekviename turinio įkėlimo mazge.
Taikant klasikinį metodą, sėkmingai užpuolus bet kurį serverį, susijusį su HTTPS srautu, bus pažeistas visas sertifikatas. Privačių raktų perkėlimo į turinio pristatymo tinklus atveju yra duomenų praradimo grėsmė dėl darbuotojų sabotažo, specialių paslaugų veiksmų ar CDN infrastruktūros pažeidimo.
Jei raktų praradimas nebus nustatytas, pagrindiniai prieigininkai galės tyliai patekti į svetainės srautą (MITM) ilgą laiką, nes sertifikatų galiojimo laikas skaičiuojamas mėnesiais ir metais.
„Cloudflare“ gali naudoti specialius raktų serverius kurie dirba svetainės savininko pusėje apsaugoti sertifikatų raktus, bet darbas šiuo režimu pastebimai vėluojama pristatyti srautą, sumažina patikimumą dėl papildomos nuorodos atsiradimo ir reikalauja įdiegti sudėtingą infrastruktūrą.
Siūlomas TLS plėtinys įveda papildomą tarpinį privatų raktą, cJo galiojimas ribojamas valandomis arba keliomis dienomis (ne ilgiau kaip 7 dienas). Šis raktas yra sukurtas remiantis sertifikavimo centro išduotu sertifikatu ir leidžia jums išsaugoti originalų sertifikato turinio teikimo tarnybų raktą paslaptyje pateikiant tik laikiną sertifikatą, kurio galiojimo laikas yra trumpas.
Kad būtų išvengta prieigos problemų, kai tarpinis raktas pasibaigs jo naudingo tarnavimo laikui, šaltinio TLS serverio pusėje įdiegta automatinio naujinimo technologija.
Norėdami sugeneruoti, jums nereikia atlikti rankinių operacijų ar paleisti scenarijų: autoritetingas serveris, kuriam reikalingas privatus raktas, prieš pasibaigiant senojo rakto naudingo tarnavimo laikui, pasiekia svetainės šaltinio TLS serverį ir sugeneruoja tarpinį raktą kitam trumpam laikui. rėmas.
Naršyklės, palaikančios prisijungimo duomenis TLS plėtinio jie tokius išvestinius sertifikatus supras kaip patikimus.
Pavyzdžiui, nurodyto plėtinio palaikymas jau pridėtas prie „Firefox“ naktinių versijų ir beta versijų ir gali būti suaktyvintas apie: konfig nustatymų keitimas "Security.tls.enable_delegated_credentials".
Lapkričio viduryje tarp tam tikro „Firefox“ bandomųjų vartotojų procento taip pat planuojamas eksperimentas „TLS deleguotų prisijungimo duomenų eksperimentas“, kuriame bandymo užklausa bus išsiųsta „Cloudflare DC“ serveriui, kad būtų galima patikrinti naujo TLS plėtinio kokybę.
„TLS Delegated Credentials“ taip pat yra įdiegta „Fizz“ bibliotekoje įdiegus TLS 1.3.
„TLS Delegated Credentials“ specifikacija buvo pateikta IETF (interneto inžinerijos darbo grupės) komitetui, kuris kuria interneto protokolus ir architektūrą, ir yra projekto rengimo stadijoje, teigdamas, kad tai interneto standartas. Plėtinį galima naudoti tik su TLS v1.3. Norint sugeneruoti tarpinius raktus, reikia gauti TLS sertifikatą, kuriame yra specialus plėtinys X.509, kurį iki šiol palaiko tik „DigiCert“ sertifikato institucija.
Si norite apie tai daugiau sužinoti, galite pasikonsultuoti šią nuorodą.