Mozilla,Cloudflare和Facebook引入了TLS扩展

委托凭证遥测

Mozilla,Cloudflare和Facebook宣布 共同 新的TLS委托凭证扩展通过组织通过内容交付网络访问站点来解决证书问题。 证书颁发机构颁发的证书的有效期很长,这使得很难通过第三方服务来组织对站点的访问,因为必须将第三方从该站点建立安全连接,因为证书是从站点到外部的转移服务会带来额外的安全风险。

新的扩展名也 对于其工作由大型分布式基础结构提供的站点可能很有用 与大量的负载均衡器。 委派的凭据将有助于避免在每个内容上传节点上存储主证书的私钥副本。

使用经典方法,对传递HTTPS流量所涉及的任何服务器的成功攻击将导致整个证书的泄露。 在将私钥转移到内容交付网络的情况下,由于工作人员的蓄意破坏,特殊服务措施或CDN基础设施的破坏,存在数据丢失的威胁。

如果未发现密钥丢失,则密钥访问者将能够长时间无声地输入站点流量(MITM),因为证书的有效期以月和年为单位。

Cloudflare可以使用特殊的密钥服务器 在网站所有者方面工作的人 保护证书密钥,但是工作 在这种模式下,它会导致流量传输明显延迟, 由于出现了附加链接而降低了可靠性,并且需要部署复杂的基础架构。

提议的TLS扩展引入了一个额外的中间私钥c其有效性限于数小时或数天(不超过7天)。 这个钥匙 是根据认证中心颁发的证书生成的 并允许您仅提供使用寿命短的临时证书,从而使内容交付服务中原始证书的私钥保密。

为了避免在中间密钥达到其使用寿命后访问问题,在源TLS服务器端实现了自动更新技术。

要生成该文件,您无需执行手动操作或运行脚本:在旧密钥的有效期限到期之前,需要私钥的权威服务器可以访问站点的源TLS服务器并在接下来的短时间内生成中间密钥帧。

支持凭据的浏览器 TLS扩展的 他们会认为这种派生证书是可靠的。

例如,对指定扩展名的支持已被添加到每晚的Firefox版本和Beta版本中,并且可以在以下版本中激活 关于:配置 变更设定 “ Security.tls.enable_delegated_credentials”.

在XNUMX月中旬,一定比例的Firefox试用用户中, 还计划进行一项实验 “ TLS委托凭证实验”,其中,测试请求将发送到Cloudflare DC服务器以测试新TLS扩展的质量。

TLS委派凭据也通过TLS 1.3的实现内置到Fizz库中。

TLS委托凭据规范已提交给IETF(Internet工程任务组)委员会,该委员会正在开发Internet的协议和体系结构,并且处于起草阶段,声称是Internet标准。 该扩展只能与TLS v1.3一起使用。 要生成中间密钥,必须获得TLS证书,其中包括特殊的X.509扩展名,直到现在,它仅由DigiCert证书颁发机构支持。

Si 您想了解更多,你可以咨询 以下链接。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。