Mozilla, Cloudflare dhe Facebook njoftuan bashkarisht zgjerimi i ri i kredencialeve të deleguara të TLSQë zgjidh problemin me certifikatat duke organizuar hyrjen në një sit përmes një rrjeti të shpërndarjes së përmbajtjes. Certifikatat e lëshuara nga autoritetet e çertifikimit kanë një periudhë të gjatë vlefshmërie, gjë që e bën të vështirë organizimin e hyrjes në sit përmes një shërbimi të palës së tretë, në emër të të cilit duhet të vendoset një lidhje e sigurt, që nga transferimi i certifikatës nga një faqe në një tjetër shërbimi krijon rreziqe shtesë të sigurisë.
Shtrirja e re gjithashtu mund të jetë i dobishëm për faqet, puna e të cilave sigurohet nga një infrastrukturë e madhe e shpërndarë me një numër të madh të balancuesve të ngarkesës. Kredencialet e deleguara do të ndihmojnë në shmangien e ruajtjes së kopjeve të çelësave privatë të çertifikatave kryesore në secilën nyje të ngarkimit të përmbajtjes.
Me qasjen klasike, një sulm i suksesshëm ndaj cilitdo prej serverave të përfshirë në shpërndarjen e trafikut HTTPS do të çojë në kompromis të të gjithë certifikatës. Në rastin e transferimit të çelësit privat në rrjetet e shpërndarjes së përmbajtjes, ka kërcënime të humbjes së të dhënave si rezultat i sabotimit nga stafi, veprimeve të veçanta të shërbimit ose kompromisit të infrastrukturës CDN.
Nëse humbja e çelësit nuk zbulohet, aksesorët kryesorë do të jenë në gjendje të hyjnë në heshtje në trafikun e faqes (MITM) për një kohë të gjatë, pasi periudha e vlefshmërisë së certifikatave llogaritet në muaj dhe vite.
Cloudflare mund të përdorë servera të veçantë çelësash të cilët punojnë në anën e pronarit të faqes për të mbrojtur çelësat e certifikatës, por puna në këtë mënyrë gjeneron vonesa të dukshme në shpërndarjen e trafikut, zvogëlon besueshmërinë për shkak të shfaqjes së një lidhje shtesë dhe kërkon vendosjen e një infrastrukture të sofistikuar.
Zgjerimi i propozuar i TLS prezanton një çelës privat të ndërmjetëm shtesë, cVlefshmëria e tij është e kufizuar në orë ose disa ditë (jo më shumë se 7 ditë). Ky çelës gjenerohet bazuar në certifikatën e lëshuar nga qendra e certifikimit dhe ju lejon të mbani sekret çelësin privat të certifikatës origjinale nga shërbimet e shpërndarjes së përmbajtjes duke siguruar vetëm një certifikatë të përkohshme me një jetë të shkurtër.
Për të shmangur problemet e hyrjes pasi çelësi i ndërmjetëm ka arritur fundin e jetës së tij të dobishme, një teknologji automatike e azhurnimit zbatohet në anën e serverit burim TLS.
Për të gjeneruar, nuk keni nevojë të kryeni operacione manuale ose të ekzekutoni skripta: një server autoritar që ka nevojë për një çelës privat, para skadimit të jetës së dobishme të çelësit të vjetër, hyn në serverin burimor të faqes TLS dhe gjeneron një çelës të ndërmjetëm për kohën e shkurtër të ardhshme kornizë
Shfletuesit që mbështesin kredencialet të shtrirjes TLS ata do të perceptojnë çertifikata të tilla derivative si të besueshme.
Për shembull, mbështetja për shtesën e specifikuar tashmë është shtuar në ndërtimet e natës dhe versionet beta të Firefox dhe mund të aktivizohet në rreth: konfiguroj duke ndryshuar cilësimet "Security.tls.enable_delegated_credentials".
Në mes të nëntorit, midis një përqindje të caktuar të përdoruesve të provës Firefox, është planifikuar edhe një eksperiment "Eksperimenti i Kredencialeve të Deleguara të TLS", në të cilin do të dërgohet një kërkesë prove në serverin Cloudflare DC për të testuar cilësinë e shtesës së re TLS.
Kredencialet e Deleguara të TLS-së janë ndërtuar gjithashtu në bibliotekën Fizz me zbatimin e TLS 1.3.
Specifikimi i Kredencialeve të Deleguara të TLS është dorëzuar në komitetin IETF (Task Force për Inxhinierinë e Internetit), i cili po zhvillon protokollet dhe arkitekturën e Internetit dhe është në fazën e draftit, duke pretenduar të jetë standardi i Internetit. Shtesa mund të përdoret vetëm me TLS v1.3. Për të gjeneruar çelësat e ndërmjetëm, duhet të merret një certifikatë TLS, e cila përfshin shtesën speciale X.509, e cila deri më tani mbështetet vetëm nga autoriteti i çertifikatës DigiCert.
Si ju doni të dini më shumë rreth saj, ju mund të konsultoheni lidhja e mëposhtme.