Mozilla, Cloudflare og Facebook kunngjorde i fellesskap den nye TLS Delegated Credentials-utvidelsenAt løser problemet med sertifikater ved å organisere tilgang til et nettsted gjennom et innholdsleveringsnettverk. Sertifikater utstedt av sertifiseringsmyndigheter har en lang gyldighetsperiode, noe som gjør det vanskelig å organisere tilgang til nettstedet gjennom en tredjepartstjeneste, på hvis vegne en sikker forbindelse må opprettes, siden overføring av sertifikatet fra et sted til et utenforstående tjenesten skaper ytterligere sikkerhetsrisiko.
Den nye utvidelsen også kan være nyttig for nettsteder der arbeidet leveres av en stor distribuert infrastruktur med et stort antall lastbalanserere. De delegerte legitimasjonene vil bidra til å unngå å lagre kopier av de private nøklene til primærsertifikatene ved hver innlastingsnode.
Med den klassiske tilnærmingen vil et vellykket angrep på noen av serverne som er involvert i å levere HTTPS-trafikken føre til kompromiss for hele sertifikatet. I tilfelle overføring av private nøkler til innholdsleveringsnettverk, er det trusler om tap av data som følge av sabotasje av personalet, spesielle servicehandlinger eller kompromittering av CDN-infrastrukturen.
Hvis nøkkeltap ikke blir oppdaget, vil nøkkeltilgangere kunne stille inn trafikk på nettstedet (MITM) i lang tid, ettersom sertifikatens gyldighetsperiode beregnes i måneder og år.
Cloudflare kan bruke spesielle nøkkelservere som jobber på sideeiersiden for å beskytte sertifikatnøkler, men arbeid i denne modusen genererer det merkbare forsinkelser i levering av trafikk, reduserer påliteligheten på grunn av utseendet til en ekstra lenke og krever distribusjon av en sofistikert infrastruktur.
Den foreslåtte TLS-utvidelsen introduserer en ekstra mellomliggende privat nøkkel, cGyldigheten er begrenset til timer eller flere dager (ikke mer enn 7 dager). Denne nøkkelen genereres basert på sertifikatet utstedt av sertifiseringssenteret og lar deg holde den private nøkkelen til det originale sertifikatet fra innholdsleveringstjenester hemmelig ved å bare gi et midlertidig sertifikat med kort levetid.
For å unngå tilgangsproblemer etter at mellomnøkkelen har nådd slutten av levetiden, implementeres en automatisk oppdateringsteknologi på kilden TLS-serversiden.
For å generere trenger du ikke å utføre manuelle operasjoner eller kjøre skript: en autoritativ server som trenger en privat nøkkel, før utløpet av den gamle nøkkelens levetid, får tilgang til nettstedets kilde TLS-server og genererer en mellomnøkkel for neste korte tid ramme.
Nettleserne som støtter legitimasjonen av TLS-utvidelsen de vil oppfatte slike derivatsertifikater som pålitelige.
For eksempel er støtte for den spesifiserte utvidelsen allerede lagt til i nattlige builds og betaversjoner av Firefox og kan aktiveres i om: config endre innstillinger "Security.tls.enable_delegated_credentials".
I midten av november, blant en viss prosentandel av Firefox-prøvebrukere, det er også planlagt et eksperiment "TLS Delegated Credentials Experiment", der en testforespørsel vil bli sendt til Cloudflare DC-serveren for å teste kvaliteten på den nye TLS-utvidelsen.
TLS Delegated Credentials er også innebygd i Fizz-biblioteket med implementeringen av TLS 1.3.
TLS Delegated Credentials-spesifikasjonen ble sendt til IETF (Internet Engineering Task Force) komiteen, som utvikler protokollene og arkitekturen til Internett, og er i utkastfasen og hevder å være Internett-standarden. Utvidelsen kan bare brukes med TLS v1.3. For å generere mellomnøklene, må det skaffes et TLS-sertifikat, som inkluderer den spesielle X.509-utvidelsen, som til nå bare støttes av DigiCert-sertifiseringsmyndigheten.
Si du vil vite mer om det, kan du konsultere følgende lenke.