Oznámili spoločnosti Mozilla, Cloudflare a Facebook spoločne nové rozšírenie TLS Delegated CredentialsŽe rieši problém s certifikátmi organizáciou prístupu na stránku prostredníctvom siete na doručovanie obsahu. Certifikáty vydané certifikačnými autoritami majú dlhú dobu platnosti, čo sťažuje organizáciu prístupu na stránku prostredníctvom služby tretej strany, v ktorej mene musí byť zabezpečené bezpečné spojenie, pretože prenos certifikátu zo stránky k externej službe vytvára ďalšie bezpečnostné riziká.
Nové rozšírenie tiež môžu byť užitočné pre stránky, ktorých prácu zabezpečuje veľká distribuovaná infraštruktúra s veľkým počtom balancerov záťaže. Delegované poverenia pomôžu vyhnúť sa ukladaniu kópií súkromných kľúčov primárnych certifikátov do každého uzla na nahrávanie obsahu.
Pri klasickom prístupe povedie úspešný útok na ktorýkoľvek zo serverov zapojených do doručovania prenosu HTTPS ku kompromisu celého certifikátu. V prípade prenosu súkromných kľúčov do sietí na doručovanie obsahu existuje riziko straty údajov v dôsledku sabotáže personálom, špeciálnych servisných akcií alebo narušenia infraštruktúry CDN.
Ak strata kľúča zostane nepovšimnutá, prístupoví kľúči budú môcť na dlhú dobu potichu vstúpiť do prenosu na webe (MITM), pretože doba platnosti certifikátov sa počíta z mesiacov a rokov.
Cloudflare môže používať špeciálne kľúčové servery ktorí pracujú na strane vlastníka stránky na ochranu kľúčov certifikátov, ale pracuj v tomto režime generuje znateľné oneskorenia pri dodaní premávky, znižuje spoľahlivosť vzhľadom na vzhľad ďalšieho spojenia a vyžaduje nasadenie sofistikovanej infraštruktúry.
Navrhované rozšírenie TLS zavádza ďalší sprostredkujúci súkromný kľúč, cJeho platnosť je obmedzená na hodiny alebo niekoľko dní (nie viac ako 7 dní). Tento kľúč sa generuje na základe certifikátu vydaného certifikačným centrom a umožňuje vám uchovať súkromný kľúč pôvodného certifikátu od služieb doručovania obsahu v tajnosti tak, že im poskytnete iba dočasný certifikát s krátkou životnosťou.
Aby sa zabránilo problémom s prístupom po dosiahnutí konca životnosti sprostredkujúceho kľúča, je na strane servera zdrojového TLS implementovaná technológia automatických aktualizácií.
Na generovanie nie je potrebné vykonávať manuálne operácie ani spúšťať skripty: autoritatívny server, ktorý potrebuje súkromný kľúč, pred vypršaním doby životnosti starého kľúča získa prístup k pôvodnému serveru TLS na webe a vygeneruje prechodný kľúč pre ďalšiu krátku časový rámec.
Prehliadače, ktoré podporujú prihlasovacie údaje rozšírenia TLS budú takéto derivátové certifikáty vnímať ako spoľahlivé.
Napríklad podpora pre zadané rozšírenie už bola pridaná do nočných verzií a beta verzií prehliadača Firefox a je možné ju aktivovať v prehliadači o: konfigur zmena nastavení „Security.tls.enable_delegated_credentials“.
V polovici novembra medzi určitým percentom používateľov skúšobnej verzie Firefoxu plánuje sa aj experiment „Experiment s delegovanými povereniami TLS“, v ktorom sa na server Cloudflare DC odošle požiadavka na test na testovanie kvality nového rozšírenia TLS.
Delegované poverenia TLS sú tiež zabudované do knižnice Fizz s implementáciou TLS 1.3.
Špecifikácia delegovaných poverení TLS bola predložená výboru IETF (Internet Engineering Task Force), ktorý vyvíja protokoly a architektúru internetu, a je v štádiu návrhu, ktorý sa považuje za internetový štandard. Rozšírenie je možné použiť iba s protokolom TLS v1.3. Na vygenerovanie prechodných kľúčov je potrebné získať certifikát TLS, ktorý obsahuje špeciálne rozšírenie X.509, ktoré doteraz podporuje iba certifikačná autorita DigiCert.
Si chcete o tom vedieť viac, môžete sa poradiť nasledujúci odkaz.