, и het gesamentlik 'n nuwe TLS-uitbreiding aangekondig (DC), die probleem met sertifikate op te los wanneer toegang tot 'n webwerf deur inhoudafleweringsnetwerke georganiseer word. Sertifikate uitgereik deur sertifiseringsowerhede het 'n lang geldigheidstydperk, wat probleme skep wanneer dit nodig is om toegang tot 'n webwerf te organiseer deur middel van 'n derdepartydiens, namens wie 'n veilige verbinding tot stand gebring moet word, aangesien die webwerf se sertifikaat na 'n eksterne oordrag diens skep bykomende sekuriteitsbedreigings.
Die nuwe uitbreiding kan ook nuttig wees vir terreine wat op 'n groot verspreide infrastruktuur werk met 'n groot aantal lasbalanseerders. Gedelegeerde geloofsbriewe sal vermy om kopieë van die private sleutels van die hoofsertifikate op elke inhoudafleweringsnodus te stoor. Met die klassieke benadering sal 'n suksesvolle aanval op enige van die bedieners wat betrokke is by die stuur van HTTPS-verkeer lei tot die kompromie van die hele sertifikaat. As private sleutels na inhoudafleweringsnetwerke oorgedra word, is daar dreigemente van datalekkasie as gevolg van sabotasie deur personeel, optrede van intelligensie-agentskappe, of kompromie van die CDN-infrastruktuur.
As 'n sleutellekkasie nie opgemerk word nie, sal diegene wat toegang tot die sleutels verkry het, hulself vir 'n redelike lang tyd onopspoorbaar in werfverkeer (MITM) kan inwig, aangesien die geldigheidstydperke van sertifikate in maande en jare bereken word. Cloudflare kan sertifikaatsleutels beskerm deur spesiale sleutelbedieners wat aan die kant van die werfeienaar werk, maar werk in hierdie modus lei tot aansienlike vertragings in verkeerslewering, verminder betroubaarheid as gevolg van die voorkoms van 'n bykomende skakel en vereis die ontplooiing van komplekse infrastruktuur.
Die voorgestelde TLS-uitbreiding Gedelegeerde geloofsbriewe stel 'n bykomende intermediêre private sleutel bekend, waarvan die geldigheid beperk is tot ure of etlike dae (nie meer as 7 dae). Hierdie sleutel word gegenereer op grond van 'n sertifikaat wat deur 'n sertifiseringsowerheid uitgereik is en laat jou toe om die private sleutel van die oorspronklike sertifikaat geheim te hou van inhoudafleweringsdienste, wat hulle slegs van 'n tydelike sertifikaat met 'n kort leeftyd voorsien.
Om toegangsprobleme te vermy nadat die tussensleutel verval het, word 'n outomatiese opdateringstegnologie verskaf wat aan die kant van die oorspronklike TLS-bediener uitgevoer word. Generasie vereis nie handbewerkings of lopende skrifte nie - 'n gemagtigde bediener wat 'n private sleutel vereis, voordat die leeftyd van die vorige sleutel verstryk, kontak die oorspronklike TLS-bediener van die webwerf en dit genereer 'n tussensleutel vir die volgende kort tydperk.
Blaaiers wat die Delegated Credentials TLS-uitbreiding ondersteun, sal sulke afgeleide sertifikate as betroubaar hanteer. Ondersteuning vir die gespesifiseerde uitbreiding is byvoorbeeld reeds by nagtelike bou- en beta-weergawes van Firefox gevoeg en kan in about:config geaktiveer word deur die “security.tls.enable_delegated_credentials”-instelling te verander. In die middel van November word 'n eksperiment ook beplan om uitgevoer te word onder 'n sekere persentasie gebruikers van toetsweergawes van Firefox "“, waarbinne 'n toetsversoek na die Cloudflare DC-bediener gestuur sal word om die kwaliteit van die implementering van die nuwe TLS-uitbreiding na te gaan. Ondersteuning vir gedelegeerde geloofsbriewe is ook reeds in die biblioteek ingebou met TLS 1.3 implementering.
Die Gedelegeerde Geloofsbriewe-spesifikasie is voorgelê aan die IETF (Internet Engineering Task Force) komitee, wat verantwoordelik is vir die ontwikkeling van internetprotokolle en argitektuur, en by die , wat beweer dat dit 'n internetstandaard is. Die Gedelegeerde Geloofsbriewe-uitbreiding kan slegs met TLSv1.3 gebruik word.
Om tussensleutels te genereer, moet jy 'n TLS-sertifikaat kry wat 'n spesiale X.509-uitbreiding insluit, wat tans slegs deur die DigiCert-sertifiseringsowerheid ondersteun word.
Bron: opennet.ru