, ΠΈ dungan nga gipahibalo ang usa ka bag-ong extension sa TLS (DC), pagsulbad sa problema sa mga sertipiko sa pag-organisar sa pag-access sa usa ka site pinaagi sa mga network sa paghatud sa sulud. Ang mga sertipiko nga gi-isyu sa mga awtoridad sa sertipikasyon adunay taas nga panahon sa balido, nga nagmugna mga kalisud kung gikinahanglan ang pag-organisar sa pag-access sa usa ka site pinaagi sa usa ka serbisyo sa ikatulo nga partido, nga alang niini kinahanglan nga matukod ang usa ka luwas nga koneksyon, tungod kay ang pagbalhin sa sertipiko sa site sa usa ka eksternal nagmugna og dugang nga mga hulga sa seguridad ang serbisyo.
Ang bag-ong extension mahimo usab nga mapuslanon alang sa mga site nga naglihok sa usa ka dako nga gipang-apod-apod nga imprastraktura nga adunay daghang gidaghanon sa mga balanse sa pagkarga. Ang mga Delegado nga Kredensyal maglikay sa pagtipig og mga kopya sa pribadong mga yawe sa mga nag-unang sertipiko sa matag node sa pagpadala sa sulod. Uban sa klasiko nga pamaagi, ang usa ka malampuson nga pag-atake sa bisan unsang mga server nga nahilambigit sa pagpadala sa trapiko sa HTTPS modala sa pagkompromiso sa tibuuk nga sertipiko. Kung ang pribado nga mga yawe ibalhin sa mga network sa paghatud sa sulud, adunay mga hulga sa pagtagas sa datos ingon usa ka sangputanan sa pagsabotahe sa mga kawani, aksyon sa mga ahensya sa paniktik, o pagkompromiso sa imprastraktura sa CDN.
Kung ang usa ka yawe nga pagtulo dili mamatikdan, kadtong nakaangkon og access sa mga yawe makahimo sa dili mamatikdan nga pag-wedge sa ilang kaugalingon ngadto sa trapiko sa site (MITM) sa dugay nga panahon, tungod kay ang mga panahon sa balido sa mga sertipiko gikalkulo sa mga bulan ug mga tuig. Ang Cloudflare makapanalipod sa mga yawe sa sertipiko pinaagi sa espesyal nga yawe nga mga server nga naglihok sa kilid sa tag-iya sa site, apan ang pagtrabaho sa kini nga mode nagdala sa hinungdanon nga mga paglangan sa paghatud sa trapiko, gipakunhod ang kasaligan tungod sa dagway sa usa ka dugang nga link ug nanginahanglan sa pag-deploy sa komplikado nga imprastraktura.
Ang gisugyot nga TLS extension Delegated Credentials nagpaila sa usa ka dugang nga intermediate private key, ang balido niini limitado sa mga oras o pipila ka adlaw (dili molapas sa 7 ka adlaw). Kini nga yawe gihimo base sa usa ka sertipiko nga gi-isyu sa usa ka awtoridad sa sertipikasyon ug nagtugot kanimo sa pagtipig sa pribado nga yawe sa orihinal nga sertipiko nga sekreto gikan sa mga serbisyo sa paghatud sa sulud, nga naghatag kanila usa lamang ka temporaryo nga sertipiko nga adunay mubo nga kinabuhi.
Aron malikayan ang mga problema sa pag-access human ma-expire ang intermediate nga yawe, usa ka awtomatik nga teknolohiya sa pag-update ang gihatag nga gihimo sa kilid sa orihinal nga TLS server. Ang henerasyon wala magkinahanglan og manwal nga mga operasyon o pagpadagan sa mga script - usa ka awtorisado nga server nga nagkinahanglan og pribadong yawe, sa dili pa matapos ang tibuok kinabuhi sa miaging yawe, mokontak sa orihinal nga TLS server sa site ug kini makamugna og intermediate nga yawe alang sa sunod nga mubo nga yugto sa panahon.
Ang mga browser nga nagsuporta sa Delegated Credentials TLS extension magtratar sa mga nakuha nga sertipiko ingon nga kasaligan. Pananglitan, ang suporta alang sa gipiho nga extension gidugang na sa matag gabii nga pagtukod ug beta nga mga bersyon sa Firefox ug mahimong ma-activate sa about:config pinaagi sa pag-ilis sa βsecurity.tls.enable_delegated_credentialsβ setting. Sa tunga-tunga sa Nobyembre, ang usa ka eksperimento giplano usab nga ipahigayon sa usa ka piho nga porsyento sa mga tiggamit sa mga bersyon sa pagsulay sa Firefox "", diin ang usa ka pagsulay nga hangyo ipadala sa Cloudflare DC server aron masusi ang kalidad sa pagpatuman sa bag-ong extension sa TLS. Ang suporta alang sa Gitugyan nga mga Kredensyal natukod na usab sa librarya uban ang pagpatuman sa TLS 1.3.
Ang Delegated Credentials specification gisumite na ngadto sa IETF (Internet Engineering Task Force) committee, nga maoy responsable sa pagpalambo sa Internet protocols ug architecture, ug anaa sa , nga nag-angkon nga usa ka sumbanan sa Internet. Ang Delegated Credentials extension magamit lang sa TLSv1.3.
Aron makamugna og intermediate nga mga yawe, kinahanglan kang makakuha og TLS certificate nga naglakip sa espesyal nga X.509 extension, nga sa pagkakaron gisuportahan lamang sa DigiCert certification authority.
Source: opennet.ru