Mozilla, Cloudflare sareng Facebook ngenalkeun perpanjangan TLS

DelegatedCredentialsTelemétri

Mozilla, Cloudflare sareng Facebook ngumumkeun babarengan penyuluhan Kapercayaan TLS anu anyar, que ngajawab masalah ku sertipikat ku ngatur aksés kana situs ngalangkungan jaringan pangiriman kontén. Sértipikat anu dikaluarkeun ku otoritas sertifikasi ngagaduhan periode validitas anu panjang, anu ngajantenkeun hésé pikeun ngatur aksés kana situs ngalangkungan jasa pihak katilu, anu namina sambungan anu aman kedah dibentuk, kumargi transfer sertipikat tina hiji situs ka layanan luar nyiptakeun résiko kaamanan tambahan.

Ésténsi énggal ogé tiasa manpaat pikeun situs anu padamelanana disayogikeun ku infrastruktur anu ageung disebarkeun kalayan sajumlah ageung balancers beban. Kapercayaan anu diwakilan bakal ngabantosan nyimpen salinan tombol pribadi tina sertipikat primér dina unggal node unggah eusi.

Kalayan pendekatan klasik, serangan anu suksés dina salah sahiji sérver anu kalibet dina nganteurkeun patalimarga HTTPS bakal ngakibatkeun kompromi tina sadaya sertipikat. Dina hal mindahkeun konci swasta ka jaringan pangiriman kontén, aya ancaman kaleungitan data salaku akibat tina sabotase ku staf, tindakan jasa khusus, atanapi kompromi infrastruktur CDN.

Upami kaleungitan konci henteu kapendet, aksés konci bakal tiasa cicingeun lebet ngalebetkeun patalimarga situs (MITM) kanggo waktos anu lami, sabab periode validitas sertipikat diitung dina bulan sareng taun.

Cloudflare tiasa nganggo server konci khusus anu damel di sisi pamilik situs ngajaga konci sertipikat, tapi jalan dina modeu ieu ngahasilkeun panundaan anu jelas dina pangiriman lalu lintas, ngirangan reliabilitas kusabab munculna tautan tambahan sareng meryogikeun penyebaran infrastruktur anu canggih.

Éksténsi TLS anu diusulkeun ngenalkeun konci swasta panengah tambahan, cValiditasna dugi ka jam atanapi sababaraha dinten (henteu langkung ti 7 dinten). Konci ieu dihasilkeun dumasar kana sertipikat anu dikaluarkeun ku pusat sertifikasi sareng ngamungkinkeun anjeun nyimpen konci pribadi tina sertipikat aslina tina jasa pangiriman eusi rahasia ku ngan ukur nyayogikeun sertipikat samentawis kalayan umur anu pondok.

Pikeun nyingkahan masalah aksés saatos konci panengah parantos dugi dina akhir umur anu aya gunana, téknologi pembaruan otomatis dilaksanakeun dina sisi server TLS sumber.

Pikeun ngahasilkeun, anjeun henteu kedah ngalaksanakeun operasi manual atanapi ngajalankeun skrip: sérver anu berwajib anu peryogi konci swasta, sateuacan kadaluarsa yuswa konci anu lami, aksés kana server sumber TLS situs sareng ngahasilkeun konci panengah pikeun pondok salajengna jangka waktos.

Paramban anu ngadukung kredensialna tina penyuluhan TLS aranjeunna bakal nampi sertipikat turunan sapertos anu dipercaya.

Salaku conto, dukungan pikeun ekstensi anu parantos parantos ditambihan dina ngawangun wengi sareng versi béta Firefox sareng tiasa diaktipkeun di ngeunaan: config ngarobah setélan "Security.tls.enable_delegated_credentials".

Dina pertengahan bulan Nopémber, diantara perséntase anu tangtu pangguna uji coba Firefox, percobaan ogé direncanakeun "Ékspérimén Kapercayaan Kapercayaan TLS", numana pamundut tés bakal dikirim ka server Cloudflare DC pikeun nguji kualitas éksténsi TLS énggal.

Kapercayaan TLS Delegated ogé diwangun kana perpustakaan Fizz kalayan palaksanaan TLS 1.3.

Spésifikasi Kredensial Delegasi TLS dikintunkeun ka panitia IETF (Pasukan Téknik Téknik Internét), anu ngembangkeun protokol sareng arsitéktur Internét, sareng aya dina tahap draf, ngaku janten standar Internét. Panjanganna ngan ukur tiasa dianggo ku TLS v1.3. Pikeun ngahasilkeun konci panengah, sertipikat TLS kedah didapet, anu kalebet éksténsif X.509 khusus, anu dugi ka ayeuna ngan ukur dirojong ku otoritas sertipikat DigiCert.

Si anjeun hoyong terang langkung seueur perkawis éta, anjeun tiasa konsultasi link ieu.


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun.

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.

bool (leres)