Mozilla, Cloudflare och Facebook meddelade gemensamt det nya tillägget TLS Delegated CredentialsAtt löser problemet med certifikat när du organiserar åtkomst till en webbplats via ett nätverk för innehållsleverans. Certifikat utfärdade av certifieringsmyndigheter har en lång giltighetstid, vilket gör det svårt att organisera åtkomst till webbplatsen genom en tredjepartstjänst, för vars räkning en säker anslutning måste upprättas, eftersom överföringen av ett platscertifikat till en extern tjänst skapar ytterligare säkerhetsrisker.
Den nya förlängningen också kan vara användbart för webbplatser vars arbete tillhandahålls av en stor distribuerad infrastruktur med ett stort antal lastbalanserare. De delegerade autentiseringsuppgifterna hjälper till att undvika lagring av kopior av de privata nycklarna för de primära certifikaten på varje nod för innehållsuppladdning.
Med det klassiska tillvägagångssättet kommer en framgångsrik attack på någon av servrarna som är involverade i att leverera HTTPS-trafiken att leda till att hela certifikatet kompromissar. I fallet med överföring av privata nycklar till innehållsleveransnätverk finns det hot om dataförlust som ett resultat av sabotage av personal, åtgärder från specialtjänster eller äventyrande av CDN-infrastrukturen.
Om nyckelförlusten går obemärkt förbi, kommer de som kommer åt nycklarna att under en lång tid tyst kunna gå in i webbplatstrafik (MITM), eftersom certifikatens giltighetstid beräknas i månader och år.
Cloudflare kan använda speciella nyckelservrar som arbetar på sidan av webbplatsägaren för att skydda certifikatnycklar, men jobba i detta läge genererar det anmärkningsvärda förseningar i leveransen av trafik, det minskar tillförlitligheten på grund av uppkomsten av en ytterligare länk och kräver utplacering av en sofistikerad infrastruktur.
Den föreslagna TLS-förlängningen introducerar en ytterligare mellanliggande privat nyckel, cvars giltighet är begränsad till timmar eller flera dagar (högst 7 dagar). denna nyckel genereras på basis av certifikatet utfärdat av certifieringscentret och låter dig hålla den privata nyckeln för det ursprungliga certifikatet hemlig från innehållsleveranstjänster genom att endast förse dem med ett tillfälligt certifikat med en kort livslängd.
För att undvika åtkomstproblem när den mellanliggande nyckeln har nått slutet av sin livslängd, implementeras en automatisk uppdateringsteknik på ursprungs-TLS-serversidan.
För att generera behöver du inte utföra manuella operationer eller köra skript: en auktoriserad server som behöver en privat nyckel, innan den gamla nyckelns livslängd löper ut, kommer åt webbplatsens ursprungs-TLS-server och genererar en mellannyckel för nästa korta tidsperiod.
Webbläsare som stöder autentiseringsuppgifter av TLS-tillägget kommer att uppfatta sådana derivatcertifikat som tillförlitliga.
Till exempel har stöd för det angivna tillägget redan lagts till i nattliga versioner och betaversioner av Firefox och kan aktiveras i om: config ändra inställningar "security.tls.enable_delegated_credentials".
I mitten av november, bland en viss procentandel av Firefox provanvändare, Det är också planerat att genomföra ett experiment "TLS Delegated Credentials Experiment", där en testbegäran kommer att skickas till Cloudflare DC-servern för att testa kvaliteten på det nya TLS-tillägget.
TLS Delegated Credentials är också integrerat i Fizz-biblioteket med TLS 1.3-implementeringen.
TLS Delegated Credentials-specifikationen lämnades till Internet Engineering Task Force (IETF)-kommittén, som utvecklar Internets protokoll och arkitektur, och är på utkaststadiet och hävdar sig vara Internetstandarden. Tillägget kan endast användas med TLS v1.3. För att generera mellannycklarna måste ett TLS-certifikat erhållas, inklusive den speciella X.509-tillägget, som än så länge endast stöds av DigiCert-certifikatutfärdaren.
Si du vill veta mer om detkan du rådfråga följande länk.