, и společně oznámili nové rozšíření TLS (DC), řešící problém s certifikáty při organizování přístupu k webu prostřednictvím sítí pro doručování obsahu. Certifikáty vydávané certifikačními autoritami mají dlouhou dobu platnosti, což způsobuje potíže, když je nutné organizovat přístup k webu prostřednictvím služby třetí strany, jejímž jménem musí být vytvořeno zabezpečené připojení, protože přenos certifikátu webu na externí služba vytváří další bezpečnostní hrozby.
Nové rozšíření může být také užitečné pro weby, které fungují na velké distribuované infrastruktuře s velkým počtem load balancerů. Delegovaná pověření zabrání ukládání kopií soukromých klíčů hlavních certifikátů na každém uzlu pro doručování obsahu. Při klasickém přístupu povede úspěšný útok na kterýkoli ze serverů zapojených do odesílání HTTPS provozu ke kompromitaci celého certifikátu. Pokud jsou soukromé klíče přenášeny do sítí pro doručování obsahu, hrozí únik dat v důsledku sabotáže ze strany personálu, akcí zpravodajských agentur nebo ohrožení infrastruktury CDN.
Pokud únik klíče zůstane neodhalen, ti, kteří získali přístup ke klíčům, se budou moci nedetekovatelně vklínit do provozu webu (MITM) na poměrně dlouhou dobu, protože doby platnosti certifikátů se počítají v měsících a letech. Cloudflare může chránit klíče certifikátů speciální klíčové servery fungující na straně vlastníka webu, ale práce v tomto režimu vede k významným zpožděním v doručování provozu, snižuje spolehlivost kvůli vzhledu dalšího odkazu a vyžaduje nasazení složité infrastruktury.
Navrhované rozšíření TLS Delegated Credentials zavádí další zprostředkující soukromý klíč, jehož platnost je omezena na hodiny nebo několik dní (ne více než 7 dní). Tento klíč je generován na základě certifikátu vydaného certifikační autoritou a umožňuje uchovat soukromý klíč původního certifikátu v tajnosti před službami doručování obsahu a poskytuje jim pouze dočasný certifikát s krátkou životností.
Aby se předešlo problémům s přístupem po vypršení platnosti meziklíče, je k dispozici technologie automatické aktualizace, která se provádí na straně původního serveru TLS. Generování nevyžaduje ruční operace ani spouštění skriptů – autorizovaný server, který vyžaduje soukromý klíč, se před vypršením životnosti předchozího klíče spojí s původním TLS serverem webu a ten vygeneruje přechodný klíč na další krátké časové období.
Prohlížeče, které podporují rozšíření TLS Delegated Credentials, budou takové odvozené certifikáty považovat za důvěryhodné. Například podpora pro uvedené rozšíření již byla přidána do nočních sestavení a beta verzí Firefoxu a lze ji aktivovat v about:config změnou nastavení „security.tls.enable_delegated_credentials“. V polovině listopadu se také plánuje provedení experimentu mezi určitým procentem uživatelů testovacích verzí Firefoxu ““, v rámci kterého bude na server Cloudflare DC odeslána testovací žádost pro kontrolu kvality implementace nového rozšíření TLS. V knihovně je již také zabudována podpora pro delegovaná pověření s implementací TLS 1.3.
Specifikace Delegated Credentials byla předložena výboru IETF (Internet Engineering Task Force), který je odpovědný za vývoj internetových protokolů a architektury a je na , který o sobě tvrdí, že je internetovým standardem. Rozšíření Delegated Credentials lze použít pouze s TLSv1.3.
Pro generování zprostředkujících klíčů je potřeba získat certifikát TLS, který obsahuje speciální rozšíření X.509, které je v současnosti podporováno pouze certifikační autoritou DigiCert.
Zdroj: opennet.ru