, и zajednički najavili novu TLS ekstenziju (DC), rješavanje problema sa certifikatima prilikom organiziranja pristupa web stranici putem mreža za isporuku sadržaja. Sertifikati koje izdaju sertifikacioni organi imaju dug rok važenja, što stvara poteškoće kada je potrebno organizovati pristup sajtu preko servisa treće strane, u ime koje se mora uspostaviti sigurna veza, pošto se sertifikat sajta prenosi na eksterni servis stvara dodatne sigurnosne prijetnje.
Novo proširenje također može biti korisno za lokacije koje rade na velikoj distribuiranoj infrastrukturi s velikim brojem balansera opterećenja. Delegirani vjerodajnici će izbjeći pohranjivanje kopija privatnih ključeva glavnih certifikata na svakom čvoru za isporuku sadržaja. Sa klasičnim pristupom, uspješan napad na bilo koji od servera uključenih u slanje HTTPS prometa dovest će do kompromitacije cijelog certifikata. Ako se privatni ključevi prenesu na mreže za isporuku sadržaja, postoje prijetnje od curenja podataka kao rezultat sabotaže od strane osoblja, akcija obavještajnih agencija ili kompromitacije CDN infrastrukture.
Ako curenje ključa prođe nezapaženo, oni koji su dobili pristup ključevima moći će se neotkriveno uvući u promet na web lokaciji (MITM) na prilično dugo vrijeme, budući da se periodi važenja certifikata računaju u mjesecima i godinama. Cloudflare može zaštititi ključeve certifikata specijalni ključni serveri koji rade na strani vlasnika sajta, ali rad u ovom režimu dovodi do značajnih kašnjenja u isporuci saobraćaja, smanjuje pouzdanost zbog pojave dodatne veze i zahteva postavljanje složene infrastrukture.
Predloženo TLS proširenje Delegirani vjerodajnici uvodi dodatni posredni privatni ključ, čija je važnost ograničena na sate ili nekoliko dana (ne više od 7 dana). Ovaj ključ se generiše na osnovu sertifikata izdatog od strane sertifikacionog tela i omogućava vam da čuvate privatni ključ originalnog sertifikata u tajnosti od usluga za isporuku sadržaja, dajući im samo privremeni sertifikat sa kratkim vekom trajanja.
Kako bi se izbjegli problemi s pristupom nakon isteka međuključa, obezbjeđena je tehnologija automatskog ažuriranja koja se izvodi na strani originalnog TLS servera. Generisanje ne zahteva ručne operacije ili pokretanje skripti - autorizovani server koji zahteva privatni ključ, pre nego što istekne životni vek prethodnog ključa, kontaktira originalni TLS server sajta i generiše međuključ za sledeći kratak vremenski period.
Preglednici koji podržavaju TLS ekstenziju delegiranih vjerodajnica tretirat će takve izvedene certifikate kao pouzdane. Na primjer, podrška za navedenu ekstenziju je već dodana noćnim verzijama i beta verzijama Firefoxa i može se aktivirati u about:config promjenom postavke “security.tls.enable_delegated_credentials”. Sredinom novembra planirano je i sprovođenje eksperimenta među određenim procentom korisnika testnih verzija Firefoxa ““, u okviru kojeg će se Cloudflare DC serveru poslati zahtjev za testiranje radi provjere kvaliteta implementacije nove TLS ekstenzije. Podrška za delegirane vjerodajnice je također već ugrađena u biblioteku sa implementacijom TLS 1.3.
Specifikacija delegiranih akreditiva je dostavljena IETF-u (Internet Engineering Task Force) komitetu, koji je odgovoran za razvoj internetskih protokola i arhitekture, i nalazi se na , koji tvrdi da je Internet standard. Ekstenzija delegiranih vjerodajnica može se koristiti samo s TLSv1.3.
Da biste generirali međuključeve, morate nabaviti TLS certifikat koji uključuje posebnu ekstenziju X.509, koju trenutno podržava samo DigiCert certifikacijsko tijelo.
izvor: opennet.ru