Mozilla, Cloudflare и Facebook представляют расширение TLS

DelegatedCredentialsTelemetry

Объявлены Mozilla, Cloudflare и Facebook совместно новое расширение делегированных учетных данных TLSчто решает проблему с сертификатами за счет организации доступа к сайту через сеть доставки контента. Сертификаты, выданные центрами сертификации, имеют длительный срок действия, что затрудняет организацию доступа к сайту через сторонний сервис, от имени которого должно быть установлено безопасное соединение, поскольку передача сертификата с сайта на внешнее обслуживание создает дополнительные риски безопасности.

Новое расширение также может быть полезно для сайтов, работа которых обеспечивается крупной распределенной инфраструктурой с большим количеством балансировщиков нагрузки. Делегированные учетные данные помогут избежать хранения копий закрытых ключей первичных сертификатов на каждом узле загрузки контента.

При классическом подходе успешная атака на любой из серверов, участвующих в доставке трафика HTTPS, приведет к компрометации всего сертификата. В случае передачи закрытых ключей в сети доставки контента возникают угрозы потери данных в результате саботажа со стороны персонала, специальных сервисных действий или компрометации инфраструктуры CDN.

Если потеря ключа останется незамеченной, устройства доступа к ключу смогут незаметно вводить трафик сайта (MITM) в течение длительного времени, поскольку срок действия сертификатов исчисляется месяцами и годами.

Cloudflare может использовать специальные ключевые серверы которые работают на стороне владельца сайта для защиты ключей сертификатов, но работать в этом режиме вызывает заметные задержки доставки трафика, снижает надежность из-за появления дополнительного канала и требует развертывания сложной инфраструктуры.

Предлагаемое расширение TLS вводит дополнительный промежуточный закрытый ключ cСрок его действия ограничен часами или несколькими днями (не более 7 дней). Этот ключ формируется на основании сертификата, выданного удостоверяющим центром и позволяет хранить в секрете закрытый ключ исходного сертификата от служб доставки контента, предоставляя только временный сертификат с коротким сроком службы.

Чтобы избежать проблем с доступом после того, как промежуточный ключ достигнет конца своего срока полезного использования, на стороне исходного TLS-сервера реализована технология автоматического обновления.

Для генерации вам не нужно выполнять ручные операции или запускать сценарии: полномочный сервер, которому нужен закрытый ключ, до истечения срока полезного использования старого ключа, обращается к исходному TLS-серверу сайта и генерирует промежуточный ключ на следующий короткий промежуток времени. Рамка.

Браузеры, поддерживающие учетные данные расширения TLS они будут воспринимать такие производные сертификаты как надежные.

Например, поддержка указанного расширения уже добавлена ​​в ночные сборки и бета-версии Firefox и может быть активирована в о: конфиг изменение настроек "Security.tls.enable_delegated_credentials".

В середине ноября среди определенного процента пользователей пробной версии Firefox также планируется эксперимент «Эксперимент с делегированными учетными данными TLS», при котором на сервер Cloudflare DC будет отправлен тестовый запрос для проверки качества нового расширения TLS.

Делегированные учетные данные TLS также встроены в библиотеку Fizz с реализацией TLS 1.3.

Спецификация делегированных учетных данных TLS была представлена ​​комитету IETF (Internet Engineering Task Force), который разрабатывает протоколы и архитектуру Интернета и находится на стадии черновика, претендуя на роль стандарта Интернета. Расширение можно использовать только с TLS v1.3. Для генерации промежуточных ключей необходимо получить сертификат TLS, который включает специальное расширение X.509, которое до сих пор поддерживается только центром сертификации DigiCert.

Si ты хочешь узнать об этом большевы можете проконсультироваться по следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.