Новае пашырэнне таксама можа аказацца карысным для сайтаў, праца якіх забяспечваецца буйной размеркаванай інфраструктурай з вялікай колькасцю балансавальнікаў нагрузкі. Delegated Credentials дазволіць пазбегнуць захоўвання дзід зачыненых ключоў асноўных сертыфікатаў на кожным вузле аддачы кантэнту. Пры класічным падыходзе паспяховая атака на любы з сервераў, якія ўдзельнічаюць у аддачы HTTPS-трафіку, прывядзе да кампраметацыі за ўсё сертыфіката. У выпадку перадачы зачыненых ключоў сеткам дастаўкі кантэнту ўзнікаюць пагрозы ўцечкі дадзеных у выніку дыверсій са боку персанала, дзеянняў спецслужбаў або кампраметацыі інфраструктуры CDN.
Калі ўцечка ключоў застанецца незаўважанай, атрымалыя доступ да ключоў змогуць досыць працяглы час неўзаметку ўкліньвацца ў трафік сайта (MITM), бо тэрміны дзеяння сертыфікатаў вылічаюцца месяцамі і гадамі. У Cloudflare для абароны ключоў сертыфікатаў могуць
Прапанаванае TLS-пашырэнне Delegated Credentials уводзіць ва ўжытак дадатковы прамежкавых зачынены ключ, час дзеяння якога абмежавана гадзінамі ці некалькімі днямі (не больш за 7 дзён). Дадзены ключ генеруецца на аснове выдадзенага які сведчыць цэнтрам сертыфіката і дазваляе захаваць зачынены ключ зыходнага сертыфіката ў таямніцы ад сэрвісаў дастаўкі кантэнту, падаўшы ім толькі часовы сертыфікат з кароткім часам жыцця.
Для таго каб пазбегнуць праблем з доступам пасля заканчэння часу жыцця прамежкавага ключа прадугледжана тэхналогія аўтаматычнага абнаўлення, якая выконваецца на баку зыходнага TLS-сервера. Для генерацыі не патрабуецца выкананне ручных аперацый або запуску скрыптоў - аўтарызаваны сервер, якому патрабуецца зачынены ключ, да заканчэння часу жыцця папярэдняга ключа звяртаецца да зыходнага TLS-сервера сайта і ён генеруе прамежкавы ключ на чарговы кароткі прамежак часу.
Якія падтрымліваюць TLS-пашырэнне Delegated Credentials браўзэры будуць успрымаць падобныя вытворныя сертыфікаты як годныя даверу. Напрыклад, падтрымка паказанага пашырэння ўжо дададзеная ў начныя зборкі і бэта-версіі Firefox і можа быць актываваная ў about:config праз змену настойкі "security.tls.enable_delegated_credentials". У сярэдзіне лістапада сярод вызначанага адсотка карыстачоў тэставых версій Firefox таксама плануецца правесці эксперымент
Спецыфікацыя Delegated Credentials перададзена ў камітэт IETF (Internet Engineering Task Force), які займаецца развіццём пратаколаў і архітэктуры Інтэрнет, і знаходзіцца на стадыі
Для генерацыі прамежкавых ключоў патрабуецца атрыманне TLS-сертыфіката, улучальнае адмысловае пашырэнне X.509, якое пакуль падтрымліваецца толькі які сведчыць цэнтрам DigiCert.
Крыніца: opennet.ru