Mozilla, Cloudflare và Facebook đã công bố cùng nhau tiện ích mở rộng thông tin đăng nhập được ủy quyền của TLS mớiĐó giải quyết vấn đề với chứng chỉ bằng cách tổ chức quyền truy cập vào một trang web thông qua mạng phân phối nội dung. Chứng chỉ do tổ chức chứng nhận cấp có thời hạn hiệu lực dài, điều này gây khó khăn cho việc tổ chức truy cập vào trang web thông qua dịch vụ của bên thứ ba, người mà thay mặt tổ chức này phải thiết lập kết nối an toàn, kể từ khi chuyển chứng chỉ khỏi trang web cho một dịch vụ bên ngoài tạo ra các rủi ro bảo mật bổ sung.
Phần mở rộng mới cũng có thể hữu ích cho các trang web có công việc được cung cấp bởi cơ sở hạ tầng phân tán lớn với số lượng lớn các bộ cân bằng tải. Thông tin xác thực được ủy quyền sẽ giúp tránh lưu trữ các bản sao của khóa riêng của chứng chỉ chính trên mỗi nút tải lên nội dung.
Với cách tiếp cận cổ điển, một cuộc tấn công thành công vào bất kỳ máy chủ nào liên quan đến việc cung cấp lưu lượng HTTPS sẽ dẫn đến việc toàn bộ chứng chỉ bị xâm phạm. Trong trường hợp chuyển khóa cá nhân đến mạng phân phối nội dung, có các mối đe dọa mất dữ liệu do nhân viên phá hoại, các hành động dịch vụ đặc biệt hoặc sự xâm phạm của cơ sở hạ tầng CDN.
Nếu mất khóa không bị phát hiện, những người truy cập khóa sẽ có thể âm thầm nhập lưu lượng truy cập trang web (MITM) trong một thời gian dài, vì thời hạn hiệu lực của chứng chỉ được tính bằng tháng và năm.
Cloudflare có thể sử dụng các máy chủ khóa đặc biệt người làm việc bên chủ sở hữu trang web để bảo vệ các khóa chứng chỉ, nhưng làm việc ở chế độ này, nó tạo ra sự chậm trễ đáng kể trong việc phân phối lưu lượng truy cập, làm giảm độ tin cậy do sự xuất hiện của một liên kết bổ sung và yêu cầu triển khai một cơ sở hạ tầng tinh vi.
Phần mở rộng TLS được đề xuất giới thiệu một khóa cá nhân trung gian bổ sung, cHiệu lực của nó được giới hạn trong vài giờ hoặc vài ngày (không quá 7 ngày). Chìa khóa này được tạo ra trên cơ sở chứng chỉ do trung tâm chứng nhận cấp và cho phép bạn giữ bí mật khóa cá nhân của chứng chỉ gốc khỏi các dịch vụ cung cấp nội dung bằng cách chỉ cung cấp chứng chỉ tạm thời có tuổi thọ ngắn.
Để tránh các sự cố truy cập sau khi khóa trung gian hết thời hạn sử dụng, công nghệ cập nhật tự động được triển khai ở phía máy chủ TLS nguồn.
Để tạo, bạn không cần phải thực hiện các thao tác thủ công hoặc chạy các tập lệnh: một máy chủ có thẩm quyền cần khóa riêng tư, trước khi hết hạn sử dụng của khóa cũ, hãy truy cập máy chủ TLS nguồn của trang web và tạo khóa trung gian cho khóa tiếp theo khung thời gian.
Các trình duyệt hỗ trợ thông tin đăng nhập của phần mở rộng TLS họ sẽ coi các chứng chỉ phái sinh như vậy là đáng tin cậy.
Ví dụ: hỗ trợ cho tiện ích mở rộng được chỉ định đã được thêm vào các bản dựng hàng đêm và phiên bản beta của Firefox và có thể được kích hoạt trong về: cấu hình thay đổi cài đặt "Security.tls.enable_dele Moto_credentials".
Vào giữa tháng XNUMX, trong số một tỷ lệ nhất định người dùng thử Firefox, một thử nghiệm cũng được lên kế hoạch "Thử nghiệm thông tin đăng nhập được ủy quyền của TLS", trong đó yêu cầu thử nghiệm sẽ được gửi đến máy chủ Cloudflare DC để kiểm tra chất lượng của tiện ích mở rộng TLS mới.
Thông tin đăng nhập được ủy quyền của TLS cũng được tích hợp vào thư viện Fizz với việc triển khai TLS 1.3.
Đặc tả thông tin xác thực được ủy quyền của TLS đã được đệ trình lên ủy ban IETF (Lực lượng đặc nhiệm kỹ thuật Internet), cơ quan đang phát triển các giao thức và kiến trúc của Internet và đang trong giai đoạn dự thảo, tuyên bố là tiêu chuẩn Internet. Phần mở rộng chỉ có thể được sử dụng với TLS v1.3. Để tạo khóa trung gian, bạn phải lấy chứng chỉ TLS, bao gồm phần mở rộng X.509 đặc biệt, cho đến nay chỉ được hỗ trợ bởi tổ chức phát hành chứng chỉ DigiCert.
Si bạn muốn biết thêm về nó, bạn có thể tham khảo liên kết sau.