Die neue Erweiterung kann auch für Standorte nützlich sein, die auf einer großen verteilten Infrastruktur mit einer großen Anzahl von Load Balancern arbeiten. Delegierte Anmeldeinformationen vermeiden die Speicherung von Kopien der privaten Schlüssel der Hauptzertifikate auf jedem Inhaltsbereitstellungsknoten. Beim klassischen Ansatz führt ein erfolgreicher Angriff auf einen der am Senden von HTTPS-Verkehr beteiligten Server zur Kompromittierung des gesamten Zertifikats. Bei der Übertragung privater Schlüssel an Content-Delivery-Netzwerke besteht die Gefahr von Datenlecks durch Sabotage durch Personal, Aktionen von Geheimdiensten oder Kompromittierung der CDN-Infrastruktur.
Wenn ein Schlüsselleck unentdeckt bleibt, können sich diejenigen, die sich Zugang zu den Schlüsseln verschafft haben, für längere Zeit unbemerkt in den Site-Traffic (MITM) einschleichen, da die Gültigkeitsdauer von Zertifikaten in Monaten und Jahren berechnet wird. Cloudflare kann Zertifikatsschlüssel schützen
Die vorgeschlagene TLS-Erweiterung Delegated Credentials führt einen zusätzlichen privaten Zwischenschlüssel ein, dessen Gültigkeit auf Stunden oder mehrere Tage (nicht mehr als 7 Tage) begrenzt ist. Dieser Schlüssel wird auf der Grundlage eines von einer Zertifizierungsstelle ausgestellten Zertifikats generiert und ermöglicht es Ihnen, den privaten Schlüssel des Originalzertifikats vor Inhaltsbereitstellungsdiensten geheim zu halten und diesen nur ein temporäres Zertifikat mit kurzer Lebensdauer zur Verfügung zu stellen.
Um Zugriffsprobleme nach Ablauf des Zwischenschlüssels zu vermeiden, wird eine automatische Update-Technologie bereitgestellt, die auf der Seite des ursprünglichen TLS-Servers durchgeführt wird. Für die Generierung sind keine manuellen Vorgänge oder die Ausführung von Skripten erforderlich. Ein autorisierter Server, der einen privaten Schlüssel benötigt, kontaktiert vor Ablauf der Lebensdauer des vorherigen Schlüssels den ursprünglichen TLS-Server der Site und generiert einen Zwischenschlüssel für die nächste kurze Zeitspanne.
Browser, die die TLS-Erweiterung „Delegated Credentials“ unterstützen, behandeln solche abgeleiteten Zertifikate als vertrauenswürdig. Beispielsweise wurde die Unterstützung für die angegebene Erweiterung bereits zu Nightly Builds und Beta-Versionen von Firefox hinzugefügt und kann in about:config durch Ändern der Einstellung „security.tls.enable_delegated_credentials“ aktiviert werden. Mitte November ist außerdem ein Experiment mit einem bestimmten Prozentsatz der Benutzer von Testversionen von Firefox geplant.
Die Delegated Credentials-Spezifikation wurde dem IETF-Komitee (Internet Engineering Task Force) vorgelegt, das für die Entwicklung von Internetprotokollen und -architekturen verantwortlich ist und sich dort befindet
Um Zwischenschlüssel zu generieren, müssen Sie ein TLS-Zertifikat erwerben, das eine spezielle X.509-Erweiterung enthält, die derzeit nur von der DigiCert-Zertifizierungsstelle unterstützt wird.
Source: opennet.ru