, и va anunciar conjuntament una nova extensió TLS (DC), solucionant el problema dels certificats a l'hora d'organitzar l'accés a un lloc a través de xarxes de lliurament de contingut. Els certificats emesos per les autoritats de certificació tenen un llarg període de validesa, fet que crea dificultats quan cal organitzar l'accés a un lloc a través d'un servei aliè, en nom del qual s'ha d'establir una connexió segura, ja que es transfereix el certificat del lloc a un entorn extern. servei crea amenaces de seguretat addicionals.
La nova extensió també pot ser útil per a llocs que operen en una gran infraestructura distribuïda amb un gran nombre d'equilibradors de càrrega. Les credencials delegades evitaran emmagatzemar còpies de les claus privades dels certificats principals a cada node de lliurament de contingut. Amb l'enfocament clàssic, un atac reeixit a qualsevol dels servidors implicats en l'enviament de trànsit HTTPS comportarà el compromís de tot el certificat. Si les claus privades es transfereixen a xarxes de lliurament de contingut, hi ha amenaces de fuga de dades com a resultat del sabotatge per part del personal, accions d'agències d'intel·ligència o compromís de la infraestructura CDN.
Si no es detecta una fuga de claus, aquells que hagin tingut accés a les claus podran ficar-se indetectablement en el trànsit del lloc (MITM) durant força temps, ja que els períodes de validesa dels certificats es calculen en mesos i anys. Cloudflare pot protegir les claus del certificat mitjançant servidors de claus especials que operen al costat del propietari del lloc, però treballar en aquest mode comporta retards significatius en el lliurament del trànsit, redueix la fiabilitat a causa de l'aparició d'un enllaç addicional i requereix el desplegament d'una infraestructura complexa.
L'extensió TLS proposada Credencials delegades introdueix una clau privada intermèdia addicional, la validesa de la qual està limitada a hores o diversos dies (no més de 7 dies). Aquesta clau es genera a partir d'un certificat emès per una autoritat de certificació i permet mantenir secreta la clau privada del certificat original dels serveis de lliurament de contingut, proporcionant-los només un certificat temporal amb una vida útil curta.
Per tal d'evitar problemes d'accés després que la clau intermèdia hagi caducat, es proporciona una tecnologia d'actualització automàtica que es realitza al costat del servidor TLS original. La generació no requereix operacions manuals ni scripts en execució: un servidor autoritzat que requereix una clau privada, abans que caduqui la vida útil de la clau anterior, contacta amb el servidor TLS original del lloc i genera una clau intermèdia per al proper període de temps curt.
Els navegadors que admeten l'extensió TLS de credencials delegades tractaran aquests certificats derivats com a fiables. Per exemple, el suport per a l'extensió especificada ja s'ha afegit a les versions nocturnes i les versions beta de Firefox i es pot activar a about:config canviant la configuració "security.tls.enable_delegated_credentials". A mitjans de novembre també està previst fer un experiment entre un determinat percentatge d'usuaris de versions de prova de Firefox.", dins del qual s'enviarà una sol·licitud de prova al servidor Cloudflare DC per comprovar la qualitat de la implementació de la nova extensió TLS. El suport per a les credencials delegades també està integrat a la biblioteca amb la implementació de TLS 1.3.
L'especificació de credencials delegades s'ha presentat al comitè de l'IETF (Internet Engineering Task Force), que és responsable del desenvolupament de protocols i arquitectura d'Internet, i es troba a la , que afirma ser un estàndard d'Internet. L'extensió de credencials delegades només es pot utilitzar amb TLSv1.3.
Per generar claus intermèdies, cal obtenir un certificat TLS que inclogui una extensió X.509 especial, que actualment només és compatible amb l'autoritat de certificació DigiCert.
Font: opennet.ru