Nové rozšíření může být také užitečné pro weby, které fungují na velké distribuované infrastruktuře s velkým počtem load balancerů. Delegovaná pověření zabrání ukládání kopií soukromých klíčů hlavních certifikátů na každém uzlu pro doručování obsahu. Při klasickém přístupu povede úspěšný útok na kterýkoli ze serverů zapojených do odesílání HTTPS provozu ke kompromitaci celého certifikátu. Pokud jsou soukromé klíče přenášeny do sítí pro doručování obsahu, hrozí únik dat v důsledku sabotáže ze strany personálu, akcí zpravodajských agentur nebo ohrožení infrastruktury CDN.
Pokud únik klíče zůstane neodhalen, ti, kteří získali přístup ke klíčům, se budou moci nedetekovatelně vklínit do provozu webu (MITM) na poměrně dlouhou dobu, protože doby platnosti certifikátů se počítají v měsících a letech. Cloudflare může chránit klíče certifikátů
Navrhované rozšíření TLS Delegated Credentials zavádí další zprostředkující soukromý klíč, jehož platnost je omezena na hodiny nebo několik dní (ne více než 7 dní). Tento klíč je generován na základě certifikátu vydaného certifikační autoritou a umožňuje uchovat soukromý klíč původního certifikátu v tajnosti před službami doručování obsahu a poskytuje jim pouze dočasný certifikát s krátkou životností.
Aby se předešlo problémům s přístupem po vypršení platnosti meziklíče, je k dispozici technologie automatické aktualizace, která se provádí na straně původního serveru TLS. Generování nevyžaduje ruční operace ani spouštění skriptů – autorizovaný server, který vyžaduje soukromý klíč, se před vypršením životnosti předchozího klíče spojí s původním TLS serverem webu a ten vygeneruje přechodný klíč na další krátké časové období.
Prohlížeče, které podporují rozšíření TLS Delegated Credentials, budou takové odvozené certifikáty považovat za důvěryhodné. Například podpora pro uvedené rozšíření již byla přidána do nočních sestavení a beta verzí Firefoxu a lze ji aktivovat v about:config změnou nastavení „security.tls.enable_delegated_credentials“. V polovině listopadu se také plánuje provedení experimentu mezi určitým procentem uživatelů testovacích verzí Firefoxu “
Specifikace Delegated Credentials byla předložena výboru IETF (Internet Engineering Task Force), který je odpovědný za vývoj internetových protokolů a architektury a je na
Pro generování zprostředkujících klíčů je potřeba získat certifikát TLS, který obsahuje speciální rozšíření X.509, které je v současnosti podporováno pouze certifikační autoritou DigiCert.
Zdroj: opennet.ru