, и сумесна анансавалі новае TLS-пашырэнне (DC), вырашальнае праблему з сертыфікатамі пры арганізацыі доступу да сайта праз сеткі дастаўкі кантэнту. Сертыфікаты, якія выдаюць сведчанні, маюць працяглы тэрмін дзеяння, што стварае цяжкасці пры неабходнасці арганізацыі доступу да сайта праз іншы сэрвіс, ад імя якога павінна ўсталёўвацца абароненае злучэнне, бо перадача сертыфіката сайта знешняму сэрвісу стварае дадатковыя пагрозы бяспецы.
Новае пашырэнне таксама можа аказацца карысным для сайтаў, праца якіх забяспечваецца буйной размеркаванай інфраструктурай з вялікай колькасцю балансавальнікаў нагрузкі. Delegated Credentials дазволіць пазбегнуць захоўвання дзід зачыненых ключоў асноўных сертыфікатаў на кожным вузле аддачы кантэнту. Пры класічным падыходзе паспяховая атака на любы з сервераў, якія ўдзельнічаюць у аддачы HTTPS-трафіку, прывядзе да кампраметацыі за ўсё сертыфіката. У выпадку перадачы зачыненых ключоў сеткам дастаўкі кантэнту ўзнікаюць пагрозы ўцечкі дадзеных у выніку дыверсій са боку персанала, дзеянняў спецслужбаў або кампраметацыі інфраструктуры CDN.
Калі ўцечка ключоў застанецца незаўважанай, атрымалыя доступ да ключоў змогуць досыць працяглы час неўзаметку ўкліньвацца ў трафік сайта (MITM), бо тэрміны дзеяння сертыфікатаў вылічаюцца месяцамі і гадамі. У Cloudflare для абароны ключоў сертыфікатаў могуць спецыяльныя серверы ключоў, якія працуюць на баку ўладальніка сайта, але праца ў такім рэжыме прыводзіць да з'яўлення адчувальных затрымак у аддачы трафіку, зніжае надзейнасць з-за з'яўлення дадатковага звяна і патрабуе разгортвання ўскладненай інфраструктуры.
Прапанаванае TLS-пашырэнне Delegated Credentials уводзіць ва ўжытак дадатковы прамежкавых зачынены ключ, час дзеяння якога абмежавана гадзінамі ці некалькімі днямі (не больш за 7 дзён). Дадзены ключ генеруецца на аснове выдадзенага які сведчыць цэнтрам сертыфіката і дазваляе захаваць зачынены ключ зыходнага сертыфіката ў таямніцы ад сэрвісаў дастаўкі кантэнту, падаўшы ім толькі часовы сертыфікат з кароткім часам жыцця.
Для таго каб пазбегнуць праблем з доступам пасля заканчэння часу жыцця прамежкавага ключа прадугледжана тэхналогія аўтаматычнага абнаўлення, якая выконваецца на баку зыходнага TLS-сервера. Для генерацыі не патрабуецца выкананне ручных аперацый або запуску скрыптоў - аўтарызаваны сервер, якому патрабуецца зачынены ключ, да заканчэння часу жыцця папярэдняга ключа звяртаецца да зыходнага TLS-сервера сайта і ён генеруе прамежкавы ключ на чарговы кароткі прамежак часу.
Якія падтрымліваюць TLS-пашырэнне Delegated Credentials браўзэры будуць успрымаць падобныя вытворныя сертыфікаты як годныя даверу. Напрыклад, падтрымка паказанага пашырэння ўжо дададзеная ў начныя зборкі і бэта-версіі Firefox і можа быць актываваная ў about:config праз змену настойкі "security.tls.enable_delegated_credentials". У сярэдзіне лістапада сярод вызначанага адсотка карыстачоў тэставых версій Firefox таксама плануецца правесці эксперымент«, у рамках якога для праверкі якасці рэалізацыі новага TLS-пашырэння будзе адпраўлены тэставы запыт на DC-сервер Cloudflare. Падтрымка Delegated Credentials таксама ўжо ўбудавана ў бібліятэку з рэалізацыяй TLS 1.3.
Спецыфікацыя Delegated Credentials перададзена ў камітэт IETF (Internet Engineering Task Force), які займаецца развіццём пратаколаў і архітэктуры Інтэрнет, і знаходзіцца на стадыі , які прэтэндуе на званне інтэрнэт-стандарту. Пашырэнне Delegated Credentials можа прымяняцца толькі з TLSv1.3.
Для генерацыі прамежкавых ключоў патрабуецца атрыманне TLS-сертыфіката, улучальнае адмысловае пашырэнне X.509, якое пакуль падтрымліваецца толькі які сведчыць цэнтрам DigiCert.
Крыніца: opennet.ru