, и birlikdə yeni TLS uzadılmasını elan etdi (DC), məzmunun çatdırılması şəbəkələri vasitəsilə sayta girişi təşkil edərkən sertifikatlarla bağlı problemi həll edir. Sertifikatlaşdırma orqanları tərəfindən verilmiş sertifikatların etibarlılıq müddəti uzundur ki, bu da sayt sertifikatını xarici bir sertifikata köçürdükdən sonra üçüncü tərəf xidməti vasitəsilə sayta girişi təşkil etmək lazım olduqda çətinliklər yaradır, bunun adından etibarlı bir əlaqə qurulmalıdır. xidmət əlavə təhlükəsizlik riskləri yaradır.
Yeni genişləndirmə çoxlu sayda yük balanslaşdırıcısı olan böyük paylanmış infrastrukturla təchiz edilmiş saytlar üçün də faydalı ola bilər. Təqdim edilmiş Etibarnamələr əsas sertifikatların şəxsi açarlarının surətlərini hər bir məzmun çatdırılma qovşağında saxlamaqdan çəkinəcək. Klassik yanaşma ilə HTTPS trafikinin qaytarılmasında iştirak edən serverlərdən hər hansı birinə uğurlu hücum bütün sertifikatın kompromisinə səbəb olacaq. Məzmun çatdırılması şəbəkələrinə şəxsi açarların ötürülməsi halında, personalın təxribatı, kəşfiyyat orqanlarının hərəkətləri və ya CDN infrastrukturunun güzəşti nəticəsində məlumatların sızması təhlükəsi var.
Açarların sızması diqqətdən kənarda qalsa, açarlara çıxışı olanlar kifayət qədər uzun müddət sakitcə sayt trafikinə (MITM) girə biləcəklər, çünki sertifikatlar aylar və illər ərzində etibarlıdır. Cloudflare-də sertifikat açarlarını qorumaq üçün edə bilərlər sayt sahibinin tərəfində işləyən, lakin bu rejimdə işləmək trafikin qaytarılmasında nəzərəçarpacaq gecikmələrə səbəb olan xüsusi açar serverlər, əlavə bir keçidin görünüşü səbəbindən etibarlılığı azaldır və inkişaf etmiş bir infrastrukturun yerləşdirilməsini tələb edir.
Təklif olunan TLS uzadılması Delegated Credentials, etibarlılığı saatlarla və ya bir neçə günlə (7 gündən çox olmayan) məhdud olan əlavə aralıq şəxsi açar təqdim edir. Bu açar sertifikatlaşdırma orqanı tərəfindən verilmiş sertifikat əsasında yaradılır və orijinal sertifikatın şəxsi açarını məzmunun çatdırılması xidmətlərindən məxfi saxlamağa imkan verir, onlara qısa müddətə yalnız müvəqqəti sertifikat təqdim edir.
Aralıq açarın istifadə müddəti bitdikdən sonra girişlə bağlı problemlərin qarşısını almaq üçün orijinal TLS serverinin tərəfində yerinə yetirilən avtomatik yeniləmə texnologiyası təmin edilir. Nəsil əl əməliyyatları və ya işləyən skriptlər tələb etmir - şəxsi açar tələb edən səlahiyyətli server, əvvəlki açarın istifadə müddəti bitməzdən əvvəl saytın orijinal TLS serverinə daxil olur və o, növbəti qısa müddət üçün aralıq açar yaradır.
Delegated Credentials TLS genişləndirilməsini dəstəkləyən brauzerlər bu cür əldə edilmiş sertifikatları etibarlı hesab edəcəklər. Məsələn, bu genişləndirmə üçün dəstək artıq Firefox gecə və beta quruluşlarına əlavə edilib və "security.tls.enable_delegated_credentials" parametrini dəyişdirərək about:config-də aktivləşdirilə bilər. Noyabrın ortalarında Firefox-un sınaq versiyalarının istifadəçilərinin müəyyən faizi arasında eksperimentin keçirilməsi də planlaşdırılır”.", bunun çərçivəsində yeni TLS genişləndirilməsinin həyata keçirilməsinin keyfiyyətini yoxlamaq üçün Cloudflare DC serverinə test sorğusu göndəriləcək. Təqdim edilmiş Etibarnamələrə dəstək də artıq kitabxanaya daxil edilmişdir TLS 1.3 tətbiqi ilə.
Delegated Credentials spesifikasiyası İnternetin protokollarını və arxitekturasını inkişaf etdirən IETF (Internet Engineering Task Force) komitəsinə təqdim edilib və hazırda bu mərhələdədir. İnternet standartı olduğunu iddia edən . Təqdim edilmiş Etibarnamə genişləndirilməsi yalnız TLSv1.3 ilə istifadə edilə bilər.
Aralıq açarları yaratmaq üçün siz hazırda yalnız DigiCert sertifikatlaşdırma orqanı tərəfindən dəstəklənən xüsusi X.509 genişlənməsini ehtiva edən TLS sertifikatı əldə etməlisiniz.
Mənbə: opennet.ru