Die nuwe uitbreiding kan ook nuttig wees vir terreine wat op 'n groot verspreide infrastruktuur werk met 'n groot aantal lasbalanseerders. Gedelegeerde geloofsbriewe sal vermy om kopieë van die private sleutels van die hoofsertifikate op elke inhoudafleweringsnodus te stoor. Met die klassieke benadering sal 'n suksesvolle aanval op enige van die bedieners wat betrokke is by die stuur van HTTPS-verkeer lei tot die kompromie van die hele sertifikaat. As private sleutels na inhoudafleweringsnetwerke oorgedra word, is daar dreigemente van datalekkasie as gevolg van sabotasie deur personeel, optrede van intelligensie-agentskappe, of kompromie van die CDN-infrastruktuur.
As 'n sleutellekkasie nie opgemerk word nie, sal diegene wat toegang tot die sleutels verkry het, hulself vir 'n redelike lang tyd onopspoorbaar in werfverkeer (MITM) kan inwig, aangesien die geldigheidstydperke van sertifikate in maande en jare bereken word. Cloudflare kan sertifikaatsleutels beskerm deur
Die voorgestelde TLS-uitbreiding Gedelegeerde geloofsbriewe stel 'n bykomende intermediêre private sleutel bekend, waarvan die geldigheid beperk is tot ure of etlike dae (nie meer as 7 dae). Hierdie sleutel word gegenereer op grond van 'n sertifikaat wat deur 'n sertifiseringsowerheid uitgereik is en laat jou toe om die private sleutel van die oorspronklike sertifikaat geheim te hou van inhoudafleweringsdienste, wat hulle slegs van 'n tydelike sertifikaat met 'n kort leeftyd voorsien.
Om toegangsprobleme te vermy nadat die tussensleutel verval het, word 'n outomatiese opdateringstegnologie verskaf wat aan die kant van die oorspronklike TLS-bediener uitgevoer word. Generasie vereis nie handbewerkings of lopende skrifte nie - 'n gemagtigde bediener wat 'n private sleutel vereis, voordat die leeftyd van die vorige sleutel verstryk, kontak die oorspronklike TLS-bediener van die webwerf en dit genereer 'n tussensleutel vir die volgende kort tydperk.
Blaaiers wat die Delegated Credentials TLS-uitbreiding ondersteun, sal sulke afgeleide sertifikate as betroubaar hanteer. Ondersteuning vir die gespesifiseerde uitbreiding is byvoorbeeld reeds by nagtelike bou- en beta-weergawes van Firefox gevoeg en kan in about:config geaktiveer word deur die “security.tls.enable_delegated_credentials”-instelling te verander. In die middel van November word 'n eksperiment ook beplan om uitgevoer te word onder 'n sekere persentasie gebruikers van toetsweergawes van Firefox "
Die Gedelegeerde Geloofsbriewe-spesifikasie is voorgelê aan die IETF (Internet Engineering Task Force) komitee, wat verantwoordelik is vir die ontwikkeling van internetprotokolle en argitektuur, en by die
Om tussensleutels te genereer, moet jy 'n TLS-sertifikaat kry wat 'n spesiale X.509-uitbreiding insluit, wat tans slegs deur die DigiCert-sertifiseringsowerheid ondersteun word.
Bron: opennet.ru