Paziņoja Mozilla, Cloudflare un Facebook kopīgi jauno TLS deleģēto akreditācijas datu paplašinājumu, tas atrisina problēmu ar sertifikātiem, organizējot piekļuvi vietnei, izmantojot satura piegādes tīklu. Sertifikācijas iestāžu izsniegtiem sertifikātiem ir ilgs derīguma termiņš, kas apgrūtina piekļuves organizēšanu vietnei, izmantojot trešās puses pakalpojumu, kuras vārdā ir jāizveido drošs savienojums, jo sertifikāta pārsūtīšana no vietnes uz vietni ārpus pakalpojuma rada papildu drošības riskus.
Jaunais pagarinājums arī var būt noderīga vietnēm, kuru darbu nodrošina liela izplatīta infrastruktūra ar lielu skaitu slodzes līdzsvarotāju. Deleģētie akreditācijas dati palīdzēs izvairīties no primāro sertifikātu privāto atslēgu kopiju glabāšanas katrā satura augšupielādes mezglā.
Izmantojot klasisko pieeju, veiksmīgs uzbrukums jebkuram serverim, kas iesaistīts HTTPS trafika piegādē, novedīs pie visa sertifikāta kompromisa. Privāto atslēgu pārsūtīšanas gadījumā uz satura piegādes tīkliem pastāv datu zaudēšanas draudi personāla sabotāžas, speciālo dienestu darbību vai CDN infrastruktūras kompromisa rezultātā.
Ja atslēgu zaudēšana netiks pamanīta, galvenie piekļuvēji ilgu laiku varēs klusi ievadīt vietnes datplūsmu (MITM), jo sertifikātu derīguma termiņš tiek aprēķināts mēnešos un gados.
Cloudflare var izmantot īpašus atslēgu serverus kuri strādā vietnes īpašnieka pusē lai aizsargātu sertifikātu atslēgas, bet darbs šajā režīmā tas rada ievērojamu kavēšanos ar datplūsmas piegādi, samazina uzticamību papildu saites parādīšanās dēļ un prasa izvietot sarežģītu infrastruktūru.
Piedāvātais TLS paplašinājums ievieš papildu privāto privāto atslēgu, cTās derīguma termiņš ir stundas vai vairākas dienas (ne vairāk kā 7 dienas). Šī atslēga tiek ģenerēts, pamatojoties uz sertifikācijas centra izsniegtu sertifikātu un ļauj saglabāt slepenu satura piegādes pakalpojumu sertifikāta oriģināla privāto atslēgu, nodrošinot viņiem tikai īslaicīgu sertifikātu ar īsu darbības laiku.
Lai izvairītos no piekļuves problēmām pēc tam, kad starpposma atslēga ir beigusies, tā avota TLS servera pusē tiek ieviesta automātiska atjaunināšanas tehnoloģija.
Lai ģenerētu, jums nav jāveic manuālas darbības vai jādarbojas skriptiem: autoritatīvam serverim, kuram nepieciešama privāta atslēga, pirms vecās atslēgas derīguma termiņa beigām tiek piekļuvis vietnes avota TLS serverim un ģenerēts starpatslēga nākamajam īss laika posms.
Pārlūkprogrammas, kas atbalsta akreditācijas datus no TLS paplašinājuma viņi šādus atvasinājumu sertifikātus uztvers kā uzticamus.
Piemēram, norādīto paplašinājumu atbalsts jau ir pievienots Firefox nakts versijām un beta versijām, un to var aktivizēt par: konfigur mainot iestatījumus "Security.tls.enable_delegated_credentials".
Novembra vidū starp noteiktu Firefox izmēģinājuma lietotāju procentuālo daļu plānots arī eksperiments "TLS deleģēto akreditācijas datu eksperiments", kurā testa pieprasījums tiks nosūtīts uz Cloudflare DC serveri, lai pārbaudītu jaunā TLS paplašinājuma kvalitāti.
TLS deleģētie akreditācijas dati ir iebūvēti arī Fizz bibliotēkā, ieviešot TLS 1.3.
TLS deleģēto akreditācijas datu specifikācija ir iesniegta IETF (Internet Engineering Task Force) komitejai, kas izstrādā interneta protokolus un arhitektūru, un tā ir projekta stadijā, apgalvojot, ka tā ir interneta standarts. Paplašinājumu var izmantot tikai ar TLS v1.3. Lai ģenerētu starpposma atslēgas, jāiegūst TLS sertifikāts, kurā iekļauts īpašais X.509 paplašinājums, kuru līdz šim atbalsta tikai DigiCert sertifikātu iestāde.
Si jūs vēlaties uzzināt vairāk par to, varat konsultēties šo saiti.