Mozilla,Cloudflare和Facebook宣布 共同 新的TLS委託憑證擴展該 通過組織通過內容交付網絡訪問站點來解決證書問題。 證書頒發機構頒發的證書的有效期很長,這使得很難通過第三方服務來組織對站點的訪問,因為必須將第三方從該站點建立安全連接,因為證書是從站點到外部的轉移服務會帶來額外的安全風險。
新的擴展名也 對於其工作由大型分佈式基礎結構提供的站點可能很有用 與大量的負載均衡器。 委派的憑據將有助於避免在每個內容上傳節點上存儲主證書的私鑰副本。
使用經典方法,對傳遞HTTPS流量所涉及的任何服務器的成功攻擊將導致整個證書的洩露。 在將私鑰轉移到內容交付網絡的情況下,由於人員的蓄意破壞,特殊服務措施或CDN基礎架構的破壞,存在數據丟失的威脅。
如果未發現密鑰丟失,則密鑰訪問者將能夠長時間無聲地輸入站點流量(MITM),因為證書的有效期以月和年為單位。
Cloudflare可以使用特殊的密鑰服務器 在網站所有者方面工作的人 保護證書密鑰,但是工作 在這種模式下,它會導致流量傳輸明顯延遲, 由於出現了附加鏈接而降低了可靠性,並且需要部署複雜的基礎架構。
提議的TLS擴展引入了一個額外的中間私鑰c其有效性限於數小時或數天(不超過7天)。 這個鑰匙 是根據認證中心頒發的證書生成的 並允許您僅提供使用壽命短的臨時證書,從而使內容交付服務中原始證書的私鑰保密。
為了避免在中間密鑰達到其使用壽命後訪問問題,在源TLS服務器端實現了自動更新技術。
要生成該文件,您無需執行手動操作或運行腳本:在舊密鑰的有效期限到期之前,需要私鑰的權威服務器可以訪問站點的源TLS服務器並在接下來的短時間內生成中間密鑰幀。
支持憑據的瀏覽器 TLS擴展的 他們會認為這種派生證書是可靠的。
例如,對指定擴展名的支持已被添加到Firefox的夜間版本和Beta版本中,並且可以在以下版本中激活 關於:配置 變更設定 “ Security.tls.enable_delegated_credentials”.
在XNUMX月中旬,一定比例的Firefox試用用戶中, 還計劃進行一項實驗 “ TLS委託憑證實驗”,其中,測試請求將發送到Cloudflare DC服務器以測試新TLS擴展的質量。
TLS委派憑據也通過TLS 1.3的實現內置到Fizz庫中。
TLS委託憑據規範已提交給IETF(Internet工程任務組)委員會,該委員會正在開發Internet的協議和體系結構,並且處於起草階段,聲稱是Internet標準。 該擴展只能與TLS v1.3一起使用。 要生成中間密鑰,必須獲得TLS證書,其中包括特殊的X.509擴展名,直到現在,它僅由DigiCert證書頒發機構支持。
Si 您想了解更多,你可以諮詢 以下鏈接。