La nova extensió també pot ser útil per a llocs que operen en una gran infraestructura distribuïda amb un gran nombre d'equilibradors de càrrega. Les credencials delegades evitaran emmagatzemar còpies de les claus privades dels certificats principals a cada node de lliurament de contingut. Amb l'enfocament clàssic, un atac reeixit a qualsevol dels servidors implicats en l'enviament de trànsit HTTPS comportarà el compromís de tot el certificat. Si les claus privades es transfereixen a xarxes de lliurament de contingut, hi ha amenaces de fuga de dades com a resultat del sabotatge per part del personal, accions d'agències d'intel·ligència o compromís de la infraestructura CDN.
Si no es detecta una fuga de claus, aquells que hagin tingut accés a les claus podran ficar-se indetectablement en el trànsit del lloc (MITM) durant força temps, ja que els períodes de validesa dels certificats es calculen en mesos i anys. Cloudflare pot protegir les claus del certificat mitjançant
L'extensió TLS proposada Credencials delegades introdueix una clau privada intermèdia addicional, la validesa de la qual està limitada a hores o diversos dies (no més de 7 dies). Aquesta clau es genera a partir d'un certificat emès per una autoritat de certificació i permet mantenir secreta la clau privada del certificat original dels serveis de lliurament de contingut, proporcionant-los només un certificat temporal amb una vida útil curta.
Per tal d'evitar problemes d'accés després que la clau intermèdia hagi caducat, es proporciona una tecnologia d'actualització automàtica que es realitza al costat del servidor TLS original. La generació no requereix operacions manuals ni scripts en execució: un servidor autoritzat que requereix una clau privada, abans que caduqui la vida útil de la clau anterior, contacta amb el servidor TLS original del lloc i genera una clau intermèdia per al proper període de temps curt.
Els navegadors que admeten l'extensió TLS de credencials delegades tractaran aquests certificats derivats com a fiables. Per exemple, el suport per a l'extensió especificada ja s'ha afegit a les versions nocturnes i les versions beta de Firefox i es pot activar a about:config canviant la configuració "security.tls.enable_delegated_credentials". A mitjans de novembre també està previst fer un experiment entre un determinat percentatge d'usuaris de versions de prova de Firefox.
L'especificació de credencials delegades s'ha presentat al comitè de l'IETF (Internet Engineering Task Force), que és responsable del desenvolupament de protocols i arquitectura d'Internet, i es troba a la
Per generar claus intermèdies, cal obtenir un certificat TLS que inclogui una extensió X.509 especial, que actualment només és compatible amb l'autoritat de certificació DigiCert.
Font: opennet.ru