Најавили су Мозилла, Цлоудфларе и Фацебоок заједнички ново проширење ТЛС Делегирани акредитивиДа решава проблем са сертификатима организовањем приступа веб локацији путем мреже за испоруку садржаја. Сертификати које издају органи за сертификацију имају дуг период важења, што отежава организацију приступа локацији путем независне услуге, у чије име се мора успоставити сигурна веза, будући да је пренос сертификата са локације на другу услуга ствара додатне безбедносне ризике.
Ново продужење такође може бити корисно за веб локације чији рад пружа велика дистрибуирана инфраструктура са великим бројем уравнотеживача терета. Делегирани акредитиви ће вам помоћи да избегнете чување копија приватних кључева примарних сертификата на сваком чвору за отпремање садржаја.
Класичним приступом, успешан напад на било који сервер који је укључен у испоруку ХТТПС саобраћаја довешће до компромитације целокупног сертификата. У случају преноса приватног кључа на мреже за испоруку садржаја, постоје претње губитком података као резултат саботаже од стране особља, посебних радњи услуга или угрожавања ЦДН инфраструктуре.
Ако губитак кључа остане неоткривен, приступници кључева моћи ће дуго да нечујно улазе у промет на локацији (МИТМ), јер се период важења сертификата рачуна у месецима и годинама.
Цлоудфларе може да користи посебне сервере кључева који раде на страни власника странице ради заштите кључева сертификата, али радите у овом режиму генерише приметна кашњења у испоруци саобраћаја, смањује поузданост због појаве додатне везе и захтева примену софистициране инфраструктуре.
Предложено проширење ТЛС уводи додатни посредни приватни кључ, цЊегова важност је ограничена на сате или неколико дана (не више од 7 дана). Овај кључ генерише се на основу потврде коју издаје сертификациони центар и омогућава вам да приватни кључ оригиналног сертификата из услуга испоруке садржаја чувате у тајности пружајући само привремени сертификат са кратким животним веком.
Да би се избегли проблеми са приступом након што средњи кључ достигне крај свог корисног века, технологија аутоматског ажурирања је примењена на страни изворног ТЛС сервера.
Да бисте генерисали, не морате да извршавате ручне операције или покрећете скрипте: ауторитативни сервер којем је потребан приватни кључ, пре истека корисног века старог кључа, приступа изворном ТЛС серверу локације и генерише међукњигу за следеће кратко време Рам.
Прегледачи који подржавају акредитиве продужења ТЛС-а они ће такве изведене сертификате сматрати поузданим.
На пример, подршка за наведено проширење је већ додата у ноћне верзије и бета верзије Фирефока и може се активирати у абоут: цонфиг промена подешавања „Сецурити.тлс.енабле_делегатед_цредентиалс“.
Средином новембра, међу одређеним процентом корисника Фирефок-а, планиран је и експеримент „Експеримент делегираних акредитива ТЛС“, у којем ће се захтев за тестирање послати Цлоудфларе ДЦ серверу ради тестирања квалитета новог ТЛС проширења.
Делегирани акредитиви ТЛС такође су уграђени у Физз библиотеку применом ТЛС 1.3.
Спецификација делегираних акредитива ТЛС предата је одбору ИЕТФ (Интернет Енгинееринг Таск Форце), који развија протоколе и архитектуру Интернета, и у фази је израде, тврдећи да је Интернет стандард. Додатак се може користити само са ТЛС в1.3. Да би се генерисали интермедијарни кључеви, мора се добити ТЛС сертификат, који укључује посебно проширење Кс.509, које до сада подржава само тело за издавање сертификата ДигиЦерт.
Si желите да сазнате више о томе, можете се консултовати следећи линк.