Mozilla, Cloudflare va Facebook TLS kengaytmasini taqdim etmoqdalar

DelegatedCreditentialTelemetry

Mozilla, Cloudflare va Facebook e'lon qildi birgalikda yangi TLS vakolat berilgan ma'lumotlarini kengaytirish, que kontentni etkazib berish tarmog'i orqali saytga kirishni tashkil qilish orqali sertifikatlar bilan bog'liq muammoni hal qiladi. Sertifikatlashtirish idoralari tomonidan berilgan sertifikatlarning amal qilish muddati uzoq, bu esa saytga tashqi saytga ko'chib o'tgandan buyon uning nomidan xavfsiz ulanish o'rnatilishi kerak bo'lgan uchinchi tomon xizmati orqali saytga kirishni tashkil qilishni qiyinlashtiradi. xizmat qo'shimcha xavfsizlik xavfini keltirib chiqaradi.

Yangi kengaytma ham ishi katta taqsimlangan infratuzilma bilan ta'minlangan saytlar uchun foydali bo'lishi mumkin ko'p miqdordagi yuk dengeleyicileri bilan. Vakolat ma'lumotlari har bir kontentni yuklash tugunida asosiy sertifikatlarning shaxsiy kalitlari nusxalarini saqlashdan saqlanishiga yordam beradi.

Klassik yondashuv bilan, HTTPS trafigini etkazib berishda ishtirok etadigan har qanday serverga muvaffaqiyatli hujum butun sertifikatning kelishuviga olib keladi. Shaxsiy kalitlarni kontentni etkazib berish tarmoqlariga o'tkazishda, xodimlarning sabotajlari, maxsus xizmatlarning harakatlari yoki CDN infratuzilmasining buzilishi natijasida ma'lumotlarni yo'qotish tahdidlari mavjud.

Agar kalitlarning yo'qolishi sezilmasa, asosiy kiruvchilar uzoq vaqt davomida sayt trafigiga (MITM) indamay kirish imkoniyatiga ega bo'ladilar, chunki sertifikatlarning amal qilish muddati oylar va yillarda hisoblab chiqiladi.

Cloudflare maxsus kalit serverlaridan foydalanishi mumkin sayt egasi tomonida ishlaydiganlar sertifikat kalitlarini himoya qilish, lekin ish ushbu rejimda u trafikni etkazib berishda sezilarli kechikishlarni keltirib chiqaradi, qo'shimcha havola paydo bo'lishi tufayli ishonchliligini pasaytiradi va murakkab infratuzilmani joylashtirishni talab qiladi.

Taklif etilayotgan TLS kengaytmasi qo'shimcha oraliq shaxsiy kalitni taqdim etadi, vUning amal qilish muddati soat yoki bir necha kun (7 kundan ortiq bo'lmagan) bilan cheklangan. Ushbu kalit sertifikatlashtirish markazi tomonidan berilgan sertifikat asosida tuziladi va qisqa muddatli xizmatga ega bo'lgan vaqtinchalik guvohnomani taqdim etish orqali asl sertifikatning shaxsiy kalitini tarkibni etkazib berish xizmatlaridan sir saqlashga imkon beradi.

Qidiruv tugmachaning ishlash muddati tugagandan so'ng, kirish muammosiga duch kelmaslik uchun, manba TLS server tomonida avtomatik yangilash texnologiyasi qo'llaniladi.

Yaratish uchun sizga qo'lda operatsiyalarni bajarish yoki skriptlarni ishga tushirishning hojati yo'q: shaxsiy kalit kerak bo'lgan obro'li server, eski kalitning ishlash muddati tugashidan oldin, sayt manbasi TLS-serverga kirib, keyingi qisqa vaqt ichida oraliq kalitni yaratadi. ramka.

Hisobga olish ma'lumotlarini qo'llab-quvvatlovchi brauzerlar TLS kengaytmasi ular bunday lotin sertifikatlarini ishonchli deb bilishadi.

Masalan, ko'rsatilgan kengaytmani qo'llab-quvvatlash Firefox-ning tungi versiyalari va beta-versiyalariga allaqachon qo'shilgan va ularni faollashtirish mumkin haqida: config sozlamalarni o'zgartirish "Security.tls.enable_delegated_credentials".

Noyabr oyi o'rtalarida, Firefox-ning sinovdan o'tgan foydalanuvchilarining ma'lum bir qismi orasida tajriba ham rejalashtirilgan Yangi TLS kengaytmasi sifatini sinash uchun Cloudflare DC serveriga sinov so'rovi yuboriladigan "TLS vakolat berilgan ma'lumotlari bo'yicha tajriba".

TLS tomonidan berilgan ishonch yorliqlari, shuningdek, Fizz kutubxonasida TLS 1.3-ni tatbiq etish bilan qurilgan.

TLS tomonidan berilgan ishonch yorliqlari spetsifikatsiyasi Internet protokollari va arxitekturasini ishlab chiquvchi IETF (Internet Engineering Task Force) qo'mitasiga taqdim etildi va Internet standarti deb da'vo qilish bosqichida. Kengaytmani faqat TLS v1.3 bilan ishlatish mumkin. Qidiruv kalitlarni yaratish uchun TLS sertifikati olinishi kerak, unga maxsus X.509 kengaytmasi kiradi, hozirgacha u faqat DigiCert sertifikat organi tomonidan qo'llab-quvvatlanadi.

Si bu haqda ko'proq bilmoqchisiz, maslahatlashishingiz mumkin quyidagi havola.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.