, и أعلن بالاشتراك عن تمديد TLS جديد (DC) الذي يحل مشكلة الشهادات عند تنظيم الوصول إلى الموقع من خلال شبكات توصيل المحتوى. الشهادات الصادرة عن سلطات التصديق لها فترة صلاحية طويلة ، مما يخلق صعوبات إذا كان من الضروري تنظيم الوصول إلى الموقع من خلال خدمة جهة خارجية ، والتي يجب إنشاء اتصال آمن نيابة عنها ، منذ نقل شهادة الموقع إلى خارجي الخدمة تخلق مخاطر أمنية إضافية.
يمكن أن يكون الامتداد الجديد مفيدًا أيضًا للمواقع التي يتم تشغيلها بواسطة بنية أساسية موزعة كبيرة مع عدد كبير من موازين التحميل. ستتجنب بيانات الاعتماد المفوضة تخزين نسخ من المفاتيح الخاصة للشهادات الرئيسية في كل موقع لتسليم المحتوى. باستخدام النهج الكلاسيكي ، سيؤدي الهجوم الناجح على أي من الخوادم المشاركة في إعادة حركة مرور HTTPS إلى اختراق الشهادة بأكملها. في حالة نقل المفاتيح الخاصة إلى شبكات توصيل المحتوى ، هناك تهديدات بتسرب البيانات نتيجة للتخريب من قبل الأفراد أو تصرفات وكالات الاستخبارات أو اختراق البنية التحتية لشبكة CDN.
إذا مر تسريب المفاتيح دون أن يلاحظه أحد ، فسيتمكن أولئك الذين لديهم إمكانية الوصول إلى المفاتيح من الدخول بهدوء في حركة مرور الموقع (MITM) لفترة طويلة جدًا ، نظرًا لأن الشهادات صالحة لأشهر وسنوات. في Cloudflare ، لحماية مفاتيح الشهادة ، يمكنهم ذلك الخوادم الرئيسية الخاصة التي تعمل بجانب صاحب الموقع ، ولكن العمل في هذا الوضع يؤدي إلى تأخيرات ملحوظة في عودة حركة المرور ، ويقلل من الموثوقية بسبب ظهور ارتباط إضافي ويتطلب نشر بنية تحتية متطورة.
يقدم تمديد TLS المقترح لبيانات التفويض المفوضة مفتاحًا خاصًا متوسطًا إضافيًا ، تقتصر صلاحيته على ساعات أو عدة أيام (لا تزيد عن 7 أيام). يتم إنشاء هذا المفتاح استنادًا إلى الشهادة الصادرة عن المرجع المصدق ويسمح لك بالحفاظ على سرية المفتاح الخاص للشهادة الأصلية من خدمات تسليم المحتوى ، مما يوفر لهم شهادة مؤقتة فقط ذات عمر قصير.
من أجل تجنب مشاكل الوصول بعد انتهاء عمر المفتاح الوسيط ، يتم توفير تقنية التحديث التلقائي ، والتي يتم إجراؤها على جانب خادم TLS الأصلي. لا يتطلب الإنشاء عمليات يدوية أو تشغيل نصوص برمجية - خادم معتمد يتطلب مفتاحًا خاصًا ، قبل انتهاء عمر المفتاح السابق ، يصل إلى خادم TLS الأصلي للموقع ويقوم بإنشاء مفتاح وسيط لفترة زمنية قصيرة تالية.
المتصفحات التي تدعم امتداد TLS لبيانات الاعتماد المفوضة سوف تعامل هذه الشهادات المشتقة على أنها جديرة بالثقة. على سبيل المثال ، تمت إضافة دعم هذا الامتداد بالفعل إلى Firefox ليلاً وإصدارات بيتا ويمكن تمكينه في حوالي: config عن طريق تغيير إعداد "security.tls.enable_delegated_credentials". في منتصف تشرين الثاني (نوفمبر) ، من بين نسبة معينة من مستخدمي الإصدارات التجريبية من Firefox ، من المخطط أيضًا إجراء تجربة ""، والتي سيتم من خلالها إرسال طلب اختبار إلى خادم Cloudflare DC للتحقق من جودة تنفيذ امتداد TLS الجديد. تم أيضًا تضمين دعم بيانات الاعتماد المفوضة في المكتبة بالفعل مع تنفيذ TLS 1.3.
تم تقديم مواصفات أوراق الاعتماد المفوضة إلى لجنة IETF (فرقة عمل هندسة الإنترنت) التي تعمل على تطوير بروتوكولات وبنية الإنترنت ، وهي في المرحلة الحالية ، والتي تدعي أنها أحد معايير الإنترنت. لا يمكن استخدام ملحق بيانات الاعتماد المفوضة إلا مع TLSv1.3.
لإنشاء مفاتيح وسيطة ، تحتاج إلى الحصول على شهادة TLS التي تتضمن امتداد X.509 خاصًا ، وهو مدعوم حاليًا فقط من قبل المرجع المصدق DigiCert.
المصدر: opennet.ru