Yeni genişləndirmə çoxlu sayda yük balanslaşdırıcısı olan böyük paylanmış infrastrukturla təchiz edilmiş saytlar üçün də faydalı ola bilər. Təqdim edilmiş Etibarnamələr əsas sertifikatların şəxsi açarlarının surətlərini hər bir məzmun çatdırılma qovşağında saxlamaqdan çəkinəcək. Klassik yanaşma ilə HTTPS trafikinin qaytarılmasında iştirak edən serverlərdən hər hansı birinə uğurlu hücum bütün sertifikatın kompromisinə səbəb olacaq. Məzmun çatdırılması şəbəkələrinə şəxsi açarların ötürülməsi halında, personalın təxribatı, kəşfiyyat orqanlarının hərəkətləri və ya CDN infrastrukturunun güzəşti nəticəsində məlumatların sızması təhlükəsi var.
Açarların sızması diqqətdən kənarda qalsa, açarlara çıxışı olanlar kifayət qədər uzun müddət sakitcə sayt trafikinə (MITM) girə biləcəklər, çünki sertifikatlar aylar və illər ərzində etibarlıdır. Cloudflare-də sertifikat açarlarını qorumaq üçün edə bilərlər
Təklif olunan TLS uzadılması Delegated Credentials, etibarlılığı saatlarla və ya bir neçə günlə (7 gündən çox olmayan) məhdud olan əlavə aralıq şəxsi açar təqdim edir. Bu açar sertifikatlaşdırma orqanı tərəfindən verilmiş sertifikat əsasında yaradılır və orijinal sertifikatın şəxsi açarını məzmunun çatdırılması xidmətlərindən məxfi saxlamağa imkan verir, onlara qısa müddətə yalnız müvəqqəti sertifikat təqdim edir.
Aralıq açarın istifadə müddəti bitdikdən sonra girişlə bağlı problemlərin qarşısını almaq üçün orijinal TLS serverinin tərəfində yerinə yetirilən avtomatik yeniləmə texnologiyası təmin edilir. Nəsil əl əməliyyatları və ya işləyən skriptlər tələb etmir - şəxsi açar tələb edən səlahiyyətli server, əvvəlki açarın istifadə müddəti bitməzdən əvvəl saytın orijinal TLS serverinə daxil olur və o, növbəti qısa müddət üçün aralıq açar yaradır.
Delegated Credentials TLS genişləndirilməsini dəstəkləyən brauzerlər bu cür əldə edilmiş sertifikatları etibarlı hesab edəcəklər. Məsələn, bu genişləndirmə üçün dəstək artıq Firefox gecə və beta quruluşlarına əlavə edilib və "security.tls.enable_delegated_credentials" parametrini dəyişdirərək about:config-də aktivləşdirilə bilər. Noyabrın ortalarında Firefox-un sınaq versiyalarının istifadəçilərinin müəyyən faizi arasında eksperimentin keçirilməsi də planlaşdırılır”.
Delegated Credentials spesifikasiyası İnternetin protokollarını və arxitekturasını inkişaf etdirən IETF (Internet Engineering Task Force) komitəsinə təqdim edilib və hazırda bu mərhələdədir.
Aralıq açarları yaratmaq üçün siz hazırda yalnız DigiCert sertifikatlaşdırma orqanı tərəfindən dəstəklənən xüsusi X.509 genişlənməsini ehtiva edən TLS sertifikatı əldə etməlisiniz.
Mənbə: opennet.ru