Mozilla, Cloudflare e Facebook anunciaram em conjunto a nova extensão de credenciais delegadas TLS resolve o problema com certificados organizando o acesso a um site por meio de uma rede de distribuição de conteúdo. Os certificados emitidos por autoridades certificadoras têm um longo período de validade, o que dificulta a organização do acesso ao site através de um serviço de terceiros, em cujo nome deve ser estabelecida uma ligação segura, desde a transferência do certificado de um site para um serviço externo cria riscos de segurança adicionais.
A nova extensão também pode ser útil para sites cujo trabalho é fornecido por uma grande infraestrutura distribuída com um grande número de balanceadores de carga. As credenciais delegadas ajudarão a evitar o armazenamento de cópias das chaves privadas dos certificados primários em cada nó de upload de conteúdo.
Com a abordagem clássica, um ataque bem-sucedido a qualquer um dos servidores envolvidos na entrega de tráfego HTTPS levará ao comprometimento de todo o certificado. No caso da transferência de chaves privadas para redes de entrega de conteúdo, existem ameaças de perda de dados como resultado de sabotagem pela equipe, ações de serviço especiais ou comprometimento da infraestrutura CDN.
Se a perda de chave não for detectada, os acessadores de chave poderão entrar silenciosamente no tráfego do site (MITM) por um longo tempo, pois o período de validade dos certificados é calculado em meses e anos.
Cloudflare pode usar servidores de chaves especiais que trabalham no lado do proprietário do site para proteger chaves de certificado, mas trabalho neste modo, ele gera atrasos perceptíveis na entrega de tráfego, reduz a confiabilidade devido ao aparecimento de um link adicional e requer a implantação de uma infraestrutura sofisticada.
A extensão TLS proposta introduz uma chave privada intermediária adicional, cSua validade é limitada a horas ou vários dias (não mais de 7 dias). Esta chave é gerado com base no certificado emitido pelo centro de certificação e permite que você mantenha a chave privada do certificado original do segredo dos serviços de entrega de conteúdo, fornecendo apenas um certificado temporário com uma vida útil curta.
Para evitar problemas de acesso após a chave intermediária atingir o fim de sua vida útil, uma tecnologia de atualização automática é implementada no servidor TLS de origem.
Para gerar, você não precisa realizar operações manuais ou executar scripts: um servidor autoritativo que precisa de uma chave privada, antes de expirar a vida útil da chave antiga, acessa o servidor TLS de origem do site e gera uma chave intermediária para o próximo curto período de tempo.
Os navegadores que suportam as credenciais da extensão TLS eles perceberão esses certificados derivados como confiáveis.
Por exemplo, o suporte para a extensão especificada já foi adicionado a compilações noturnas e versões beta do Firefox e pode ser ativado em about: config alterando configurações "Security.tls.enable_delegated_credentials".
Em meados de novembro, entre uma certa porcentagem de usuários de teste do Firefox, um experimento também está planejado "Experimento de credenciais delegadas TLS", em que uma solicitação de teste será enviada ao servidor Cloudflare DC para testar a qualidade da nova extensão TLS.
As credenciais delegadas TLS também são integradas à biblioteca Fizz com a implementação de TLS 1.3.
A especificação das credenciais delegadas TLS foi submetida ao comitê da IETF (Internet Engineering Task Force), que está desenvolvendo os protocolos e a arquitetura da Internet, e está em fase de rascunho, alegando ser o padrão da Internet. A extensão só pode ser usada com TLS v1.3. Para gerar as chaves intermediárias, deve-se obter um certificado TLS, que inclui a extensão X.509 especial, que até agora só é suportada pela autoridade de certificação DigiCert.
Si você quer saber mais sobre isso, você pode consultar o seguinte link.