Mozilla, Cloudflare y Facebook anunciaron conjuntamente la nueva extensión TLS Delegated Credentials, que resuelve el problema con los certificados al organizar el acceso a un sitio a través de una red de entrega de contenido. Los certificados emitidos por las autoridades de certificación tienen un largo período de validez, lo que dificulta la organización del acceso al sitio a través de un servicio de terceros, en cuyo nombre debe establecerse una conexión segura, ya que la transferencia del certificado de un sitio a un servicio externo crea riesgos de seguridad adicionales.
La nueva extensión también puede ser útil para sitios cuyo trabajo es proporcionado por una gran infraestructura distribuida con una gran cantidad de equilibradores de carga. Las credenciales delegadas ayudarán a evitar el almacenamiento de copias de las claves privadas de los certificados principales en cada nodo de carga de contenido.
Con el enfoque clásico, un ataque exitoso a cualquiera de los servidores involucrados en la entrega del tráfico HTTPS conducirá al compromiso de todo el certificado. En el caso de la transferencia de claves privadas a redes de entrega de contenido, existen amenazas de pérdida de datos como resultado del sabotaje por parte del personal, acciones de servicios especiales o compromiso de la infraestructura CDN.
Si la pérdida de clave pasa desapercibida, quienes accedan a las claves podrán ingresar silenciosamente al tráfico del sitio (MITM) durante mucho tiempo, ya que el período de validez de los certificados se calcula en meses y años.
Cloudflare puede usar servidores de claves especiales que trabajan del lado del propietario del sitio para proteger las claves de certificado, pero trabajar en este modo genera demoras notables en la entrega del tráfico, reduce la confiabilidad debido a la aparición de un enlace adicional y requiere el despliegue de una infraestructura sofisticada.
La extensión TLS propuesta introduce una clave privada intermedia adicional, cuya validez se limita a horas o varios días (no más de 7 días). Esta clave se genera sobre la base del certificado emitido por el centro de certificación y le permite mantener en secreto la clave privada del certificado original de los servicios de entrega de contenido al proporcionarles solo un certificado temporal con una vida útil corta.
Para evitar problemas de acceso una vez que la clave intermedia ha llegado al final de su vida útil, se implementa una tecnología de actualización automática en el lado del servidor TLS de origen.
Para generar, no necesita realizar operaciones manuales o ejecutar scripts: un servidor autorizado que necesita una clave privada, antes de que expire la vida útil de la clave anterior, accede al servidor TLS de origen del sitio y genera una clave intermedia para el próximo corto período de tiempo.
Los navegadores que admitan las credenciales de la extensión TLS percibirán dichos certificados derivados como confiables.
Por ejemplo, el soporte para la extensión especificada ya se ha agregado a las compilaciones nocturnas y las versiones beta de Firefox y se puede activar en about: config cambiando la configuración «security.tls.enable_delegated_credentials».
A mediados de noviembre, entre un cierto porcentaje de usuarios de versiones de prueba de Firefox, también está previsto realizar un experimento «TLS Delegated Credentials Experiment», en el que se enviará una solicitud de prueba al servidor Cloudflare DC para probar la calidad de la nueva extensión TLS.
El TLS Delegated Credentials también está integrado en la biblioteca de Fizz con la implementación de TLS 1.3.
La especificación de TLS Delegated Credentials se presentó al comité IETF (Internet Engineering Task Force), que está desarrollando los protocolos y la arquitectura de Internet, y se encuentra en la etapa de borrador, alegando ser el estándar de Internet. La extensión solo se puede usar con TLS v1.3. Para generar las claves intermedias, se debe obtener un certificado TLS, que incluye la extensión especial X.509, que hasta ahora solo es compatible con la autoridad de certificación DigiCert.
Si quieres conocer más al respecto, puedes consultar el siguiente enlace.