Ang Mozilla, Cloudflare at Facebook ay inihayag magkasabay ang bagong extension ng Mga Kredensyal na TLS na DelegadoNa nalulutas ang problema sa mga sertipiko sa pamamagitan ng pag-aayos ng pag-access sa isang site sa pamamagitan ng isang network ng paghahatid ng nilalaman. Ang mga sertipiko na inisyu ng mga awtoridad sa sertipikasyon ay may mahabang panahon ng bisa, na ginagawang mahirap upang ayusin ang pag-access sa site sa pamamagitan ng isang serbisyo ng third-party, na kung kaninong ang isang ligtas na koneksyon ay dapat na maitatag, mula nang mailipat ang sertipiko mula sa isang site sa isang serbisyo sa labas ay lumilikha ng mga karagdagang panganib sa seguridad.
Ang bagong extension din ay maaaring maging kapaki-pakinabang para sa mga site na ang trabaho ay ibinibigay ng isang malaking ibinahaging imprastraktura na may isang malaking bilang ng mga load balancer. Makakatulong ang inilaan na mga kredensyal na maiwasan ang pag-iimbak ng mga kopya ng mga pribadong key ng pangunahing mga sertipiko sa bawat node ng pag-upload ng nilalaman.
Gamit ang klasikal na diskarte, ang isang matagumpay na pag-atake sa alinman sa mga server na kasangkot sa paghahatid ng trapiko ng HTTPS ay hahantong sa kompromiso ng buong sertipiko. Sa kaso ng pribadong key transfer sa mga network ng paghahatid ng nilalaman, may mga banta ng pagkawala ng data bilang resulta ng pagsabotahe ng mga tauhan, mga espesyal na pagkilos sa serbisyo, o kompromiso ng imprastraktura ng CDN.
Kung ang pagkawala ng susi ay hindi napansin, ang mga pangunahing accessors ay magagawang tahimik na makapasok sa trapiko ng site (MITM) sa mahabang panahon, dahil ang panahon ng bisa ng mga sertipiko ay kinakalkula sa mga buwan at taon.
Maaaring gumamit ang Cloudflare ng mga espesyal na key server na nagtatrabaho sa panig ng may-ari ng site upang maprotektahan ang mga susi ng sertipiko, ngunit gumagana sa mode na ito bumubuo ito ng kapansin-pansin na pagkaantala sa paghahatid ng trapiko, binabawasan ang pagiging maaasahan dahil sa hitsura ng isang karagdagang link at nangangailangan ng paglawak ng isang sopistikadong imprastraktura.
Ang ipinanukalang extension ng TLS ay nagpapakilala ng isang karagdagang intermediate na pribadong key, cAng bisa nito ay limitado sa oras o maraming araw (hindi hihigit sa 7 araw). Ang susi na ito ay nabuo batay sa sertipiko na inisyu ng sentro ng sertipikasyon at pinapayagan kang itago ang pribadong key ng orihinal na sertipiko mula sa mga serbisyo sa paghahatid ng nilalaman na lihim sa pamamagitan ng pagbibigay lamang ng isang pansamantalang sertipiko na may isang maikling habang-buhay.
Upang maiwasan ang mga isyu sa pag-access pagkatapos na maabot ng intermediate key ang pagtatapos ng kapaki-pakinabang nitong buhay, isang awtomatikong teknolohiya sa pag-update ang ipinatupad sa pinagmulan ng server ng TLS.
Upang makabuo, hindi mo kailangang magsagawa ng manu-manong pagpapatakbo o magpatakbo ng mga script: isang may kapangyarihan na server na nangangailangan ng isang pribadong key, bago matapos ang kapaki-pakinabang na buhay ng lumang susi, ina-access ang pinagmulan ng server ng TLS ng site at bumubuo ng isang intermediate key para sa susunod na maikli tagal ng panahon
Ang mga browser na sumusuporta sa mga kredensyal ng extension ng TLS malalaman nila ang naturang mga derivative na sertipiko bilang maaasahan.
Halimbawa, ang suporta para sa tinukoy na extension ay naidagdag na sa gabi-gabing mga build at beta na bersyon ng Firefox at maaaring buhayin tungkol sa: config pagbabago ng mga setting "Security.tls.enable_delegated_credentials".
Sa kalagitnaan ng Nobyembre, kasama ang isang tiyak na porsyento ng mga gumagamit ng pagsubok sa Firefox, may plano ding eksperimento "TLS Delegated Credentials Experiment", kung saan ipapadala ang isang kahilingan sa pagsubok sa server ng Cloudflare DC upang subukan ang kalidad ng bagong extension ng TLS.
Ang TLS Delegated Credentials ay naka-built din sa Fizz library na may pagpapatupad ng TLS 1.3.
Ang pagtutukoy ng TLS Delegated Credentials ay isinumite sa komite ng IETF (Internet Engineering Task Force), na bumubuo ng mga protocol at arkitektura ng Internet, at nasa draft entablado, na inaangkin na pamantayan sa Internet. Magagamit lamang ang extension sa TLS v1.3. Upang makabuo ng mga intermediate na key, dapat makuha ang isang sertipiko ng TLS, na kasama ang espesyal na X.509 na extension, na hanggang ngayon ay sinusuportahan lamang ng awtoridad ng sertipiko ng DigiCert.
Si nais mong malaman ang tungkol dito, maaari kang kumunsulta ang sumusunod na link.