Novo proširenje također može biti korisno za lokacije koje rade na velikoj distribuiranoj infrastrukturi s velikim brojem balansera opterećenja. Delegirani vjerodajnici će izbjeći pohranjivanje kopija privatnih ključeva glavnih certifikata na svakom čvoru za isporuku sadržaja. Sa klasičnim pristupom, uspješan napad na bilo koji od servera uključenih u slanje HTTPS prometa dovest će do kompromitacije cijelog certifikata. Ako se privatni ključevi prenesu na mreže za isporuku sadržaja, postoje prijetnje od curenja podataka kao rezultat sabotaže od strane osoblja, akcija obavještajnih agencija ili kompromitacije CDN infrastrukture.
Ako curenje ključa prođe nezapaženo, oni koji su dobili pristup ključevima moći će se neotkriveno uvući u promet na web lokaciji (MITM) na prilično dugo vrijeme, budući da se periodi važenja certifikata računaju u mjesecima i godinama. Cloudflare može zaštititi ključeve certifikata
Predloženo TLS proširenje Delegirani vjerodajnici uvodi dodatni posredni privatni ključ, čija je važnost ograničena na sate ili nekoliko dana (ne više od 7 dana). Ovaj ključ se generiše na osnovu sertifikata izdatog od strane sertifikacionog tela i omogućava vam da čuvate privatni ključ originalnog sertifikata u tajnosti od usluga za isporuku sadržaja, dajući im samo privremeni sertifikat sa kratkim vekom trajanja.
Kako bi se izbjegli problemi s pristupom nakon isteka međuključa, obezbjeđena je tehnologija automatskog ažuriranja koja se izvodi na strani originalnog TLS servera. Generisanje ne zahteva ručne operacije ili pokretanje skripti - autorizovani server koji zahteva privatni ključ, pre nego što istekne životni vek prethodnog ključa, kontaktira originalni TLS server sajta i generiše međuključ za sledeći kratak vremenski period.
Preglednici koji podržavaju TLS ekstenziju delegiranih vjerodajnica tretirat će takve izvedene certifikate kao pouzdane. Na primjer, podrška za navedenu ekstenziju je već dodana noćnim verzijama i beta verzijama Firefoxa i može se aktivirati u about:config promjenom postavke “security.tls.enable_delegated_credentials”. Sredinom novembra planirano je i sprovođenje eksperimenta među određenim procentom korisnika testnih verzija Firefoxa “
Specifikacija delegiranih akreditiva je dostavljena IETF-u (Internet Engineering Task Force) komitetu, koji je odgovoran za razvoj internetskih protokola i arhitekture, i nalazi se na
Da biste generirali međuključeve, morate nabaviti TLS certifikat koji uključuje posebnu ekstenziju X.509, koju trenutno podržava samo DigiCert certifikacijsko tijelo.
izvor: opennet.ru