Au fost anunțate Mozilla, Cloudflare și Facebook de comun acord noua extensie TLS Delegated CredentialsCă rezolvă problema cu certificatele organizând accesul la un site printr-o rețea de livrare a conținutului. Certificatele emise de autoritățile de certificare au o perioadă lungă de valabilitate, ceea ce face dificilă organizarea accesului la site printr-un serviciu terț, în numele căruia trebuie stabilită o conexiune sigură, de la transferul certificatului de la un site la un serviciul extern creează riscuri suplimentare de securitate.
De asemenea, noua extensie poate fi util pentru site-urile a căror muncă este asigurată de o infrastructură distribuită mare cu un număr mare de echilibratoare de sarcină. Acreditările delegate vor ajuta la evitarea stocării copiilor cheilor private ale certificatelor primare la fiecare nod de încărcare a conținutului.
Cu abordarea clasică, un atac reușit asupra oricăruia dintre serverele implicate în livrarea traficului HTTPS va duce la compromiterea întregului certificat. În cazul transferului de chei private către rețelele de livrare a conținutului, există amenințări cu pierderea datelor ca urmare a sabotării de către personal, a acțiunilor de servicii speciale sau a compromiterii infrastructurii CDN.
Dacă pierderea cheii trece neobservată, accesorii cheie vor putea intra în liniște în traficul site-ului (MITM) pentru o lungă perioadă de timp, deoarece perioada de valabilitate a certificatelor este calculată în luni și ani.
Cloudflare poate utiliza servere de chei speciale care lucrează de partea proprietarului site-ului pentru a proteja cheile de certificat, dar munca în acest mod generează întârzieri notabile în livrarea traficului, reduce fiabilitatea datorită apariției unei legături suplimentare și necesită implementarea unei infrastructuri sofisticate.
Extensia TLS propusă introduce o cheie privată intermediară suplimentară, cValabilitatea sa este limitată la ore sau câteva zile (nu mai mult de 7 zile). Această cheie este generat pe baza certificatului emis de centrul de certificare și vă permite să păstrați secretul cheii private a certificatului original pentru serviciile de livrare a conținutului, oferind doar un certificat temporar cu o durată scurtă de viață.
Pentru a evita problemele de acces după ce cheia intermediară a ajuns la sfârșitul vieții sale utile, o tehnologie de actualizare automată este implementată pe partea serverului TLS sursă.
Pentru a genera, nu este nevoie să efectuați operații manuale sau să rulați scripturi: un server autorizat care are nevoie de o cheie privată, înainte de expirarea vieții utile a vechii chei, accesează serverul TLS sursă al site-ului și generează o cheie intermediară pentru următoarea perioadă scurtă de timp cadru.
Browserele care acceptă acreditările a extensiei TLS vor percepe astfel de certificate derivate ca fiind de încredere.
De exemplu, suportul pentru extensia specificată a fost deja adăugat la versiunile beta și versiunile beta de Firefox și poate fi activat în despre: config schimbarea setărilor „Security.tls.enable_delegated_credentials”.
La jumătatea lunii noiembrie, printre un anumit procent de utilizatori de testare Firefox, este de asemenea planificat un experiment „Experimentul de acreditare delegat TLS” în care va fi trimisă o cerere de testare către serverul Cloudflare DC pentru a testa calitatea noii extensii TLS.
Acreditările delegate TLS sunt, de asemenea, integrate în biblioteca Fizz odată cu implementarea TLS 1.3.
Specificația acreditării delegate TLS a fost transmisă comitetului IETF (Internet Engineering Task Force), care dezvoltă protocoalele și arhitectura internetului, și se află în etapa de proiectare, pretinzând că este standardul Internet. Extensia poate fi utilizată numai cu TLS v1.3. Pentru a genera cheile intermediare, trebuie obținut un certificat TLS, care include extensia specială X.509, care până acum este acceptată doar de autoritatea de certificare DigiCert.
Si vrei să afli mai multe despre asta, puteți consulta următorul link.