Mozilla, Cloudflare และ Facebook ประกาศ ร่วมกัน ส่วนขยาย TLS Delegated Credentials ใหม่ที่ แก้ปัญหาเกี่ยวกับใบรับรองโดยจัดระเบียบการเข้าถึงไซต์ผ่านเครือข่ายการจัดส่งเนื้อหา ใบรับรองที่ออกโดยหน่วยงานรับรองมีระยะเวลาที่ใช้ได้นานซึ่งทำให้ยากต่อการจัดระเบียบการเข้าถึงไซต์ผ่านบริการของบุคคลที่สามซึ่งต้องสร้างการเชื่อมต่อที่ปลอดภัยในนามเนื่องจากการโอนใบรับรองจากไซต์ไปยังภายนอก บริการสร้างความเสี่ยงด้านความปลอดภัยเพิ่มเติม
ส่วนขยายใหม่ด้วย จะมีประโยชน์สำหรับไซต์ที่มีงานโดยโครงสร้างพื้นฐานแบบกระจายขนาดใหญ่ ด้วยโหลดบาลานเซอร์จำนวนมาก ข้อมูลรับรองที่ได้รับมอบหมายจะช่วยหลีกเลี่ยงการจัดเก็บสำเนาของคีย์ส่วนตัวของใบรับรองหลักที่โหนดการอัปโหลดเนื้อหาแต่ละโหนด
ด้วยวิธีการแบบคลาสสิกการโจมตีเซิร์ฟเวอร์ใด ๆ ที่เกี่ยวข้องกับการส่งการรับส่งข้อมูล HTTPS จะทำให้ใบรับรองทั้งหมดถูกบุกรุก ในกรณีของการโอนคีย์ส่วนตัวไปยังเครือข่ายการจัดส่งเนื้อหามีภัยคุกคามต่อการสูญหายของข้อมูลอันเป็นผลมาจากการก่อวินาศกรรมโดยเจ้าหน้าที่การดำเนินการของบริการพิเศษหรือการบุกรุกโครงสร้างพื้นฐาน CDN
หากตรวจไม่พบการสูญหายของคีย์ผู้เข้าถึงคีย์จะสามารถป้อนการเข้าชมไซต์ (MITM) แบบเงียบ ๆ ได้เป็นเวลานานเนื่องจากระยะเวลาความถูกต้องของใบรับรองจะคำนวณเป็นเดือนและปี
Cloudflare สามารถใช้เซิร์ฟเวอร์คีย์พิเศษ ที่ทำงานในฝั่งของเจ้าของไซต์ เพื่อป้องกันคีย์ใบรับรองแต่ทำงาน ในโหมดนี้จะทำให้เกิดความล่าช้าอย่างเห็นได้ชัดในการส่งมอบการจราจร ลดความน่าเชื่อถือเนื่องจากการปรากฏของลิงก์เพิ่มเติมและต้องการการปรับใช้โครงสร้างพื้นฐานที่ซับซ้อน
ส่วนขยาย TLS ที่นำเสนอแนะนำคีย์ส่วนตัวระดับกลางเพิ่มเติม cความถูกต้อง จำกัด อยู่ที่ชั่วโมงหรือหลายวัน (ไม่เกิน 7 วัน) คีย์นี้ มันถูกสร้างขึ้นบนพื้นฐานของใบรับรองที่ออกโดยศูนย์รับรอง และอนุญาตให้คุณเก็บคีย์ส่วนตัวของใบรับรองต้นฉบับจากบริการจัดส่งเนื้อหาเป็นความลับโดยให้ใบรับรองชั่วคราวที่มีอายุการใช้งานสั้น
เพื่อหลีกเลี่ยงปัญหาการเข้าถึงเมื่อคีย์กลางหมดอายุการใช้งานเทคโนโลยีการอัปเดตอัตโนมัติจะถูกนำมาใช้ในฝั่งเซิร์ฟเวอร์ TLS ต้นทาง
ในการสร้างคุณไม่จำเป็นต้องดำเนินการด้วยตนเองหรือเรียกใช้สคริปต์: เซิร์ฟเวอร์ที่เชื่อถือได้ที่ต้องการคีย์ส่วนตัวก่อนที่อายุการใช้งานของคีย์เก่าจะหมดอายุให้เข้าถึงเซิร์ฟเวอร์ TLS ต้นทางของไซต์และสร้างคีย์กลางในช่วงเวลาสั้น ๆ ถัดไป กรอบ
เบราว์เซอร์ที่รองรับข้อมูลประจำตัว ของส่วนขยาย TLS พวกเขาจะมองว่าใบรับรองอนุพันธ์ดังกล่าวมีความน่าเชื่อถือ
ตัวอย่างเช่นการสนับสนุนสำหรับส่วนขยายที่ระบุได้ถูกเพิ่มลงในรุ่นต่อคืนและ Firefox เวอร์ชันเบต้าแล้วและสามารถเปิดใช้งานได้ใน about: config เปลี่ยนการตั้งค่า "Security.tls.enable_delegated_credentials".
ในช่วงกลางเดือนพฤศจิกายนในบรรดาผู้ใช้ทดลองใช้ Firefox จำนวนหนึ่ง มีการวางแผนการทดลองด้วย "TLS Delegated Credentials Experiment" ซึ่งคำขอทดสอบจะถูกส่งไปยังเซิร์ฟเวอร์ Cloudflare DC เพื่อทดสอบคุณภาพของส่วนขยาย TLS ใหม่
TLS Delegated Credentials ยังรวมอยู่ในไลบรารี Fizz ด้วยการใช้ TLS 1.3
ข้อกำหนด TLS Delegated Credentials ถูกส่งไปยังคณะกรรมการ IETF (Internet Engineering Task Force) ซึ่งกำลังพัฒนาโปรโตคอลและสถาปัตยกรรมของอินเทอร์เน็ตและอยู่ในขั้นตอนร่างโดยอ้างว่าเป็นมาตรฐานอินเทอร์เน็ต ส่วนขยายสามารถใช้ได้กับ TLS v1.3 เท่านั้น ในการสร้างคีย์กลางต้องได้รับใบรับรอง TLS ซึ่งรวมถึงส่วนขยาย X.509 พิเศษซึ่งจนถึงขณะนี้ได้รับการสนับสนุนโดยผู้ออกใบรับรอง DigiCert เท่านั้น
Si คุณต้องการทราบข้อมูลเพิ่มเติมคุณสามารถปรึกษา ลิงค์ต่อไปนี้