, и kündigten gemeinsam eine neue TLS-Erweiterung an (DC) löst das Problem mit Zertifikaten bei der Organisation des Zugriffs auf eine Website über Content-Delivery-Netzwerke. Von Zertifizierungsstellen ausgestellte Zertifikate haben eine lange Gültigkeitsdauer, was zu Schwierigkeiten führt, wenn der Zugriff auf eine Site über einen Drittanbieterdienst organisiert werden muss, in dessen Namen eine sichere Verbindung hergestellt werden muss, da das Zertifikat der Site an einen externen Anbieter übertragen wird Der Dienst schafft zusätzliche Sicherheitsbedrohungen.
Die neue Erweiterung kann auch für Standorte nützlich sein, die auf einer großen verteilten Infrastruktur mit einer großen Anzahl von Load Balancern arbeiten. Delegierte Anmeldeinformationen vermeiden die Speicherung von Kopien der privaten Schlüssel der Hauptzertifikate auf jedem Inhaltsbereitstellungsknoten. Beim klassischen Ansatz führt ein erfolgreicher Angriff auf einen der am Senden von HTTPS-Verkehr beteiligten Server zur Kompromittierung des gesamten Zertifikats. Bei der Übertragung privater Schlüssel an Content-Delivery-Netzwerke besteht die Gefahr von Datenlecks durch Sabotage durch Personal, Aktionen von Geheimdiensten oder Kompromittierung der CDN-Infrastruktur.
Wenn ein Schlüsselleck unentdeckt bleibt, können sich diejenigen, die sich Zugang zu den Schlüsseln verschafft haben, für längere Zeit unbemerkt in den Site-Traffic (MITM) einschleichen, da die Gültigkeitsdauer von Zertifikaten in Monaten und Jahren berechnet wird. Cloudflare kann Zertifikatsschlüssel schützen spezielle Schlüsselserver, die auf der Seite des Websitebesitzers arbeiten, aber die Arbeit in diesem Modus führt zu erheblichen Verzögerungen bei der Datenverkehrszustellung, verringert die Zuverlässigkeit aufgrund des Auftretens einer zusätzlichen Verbindung und erfordert den Einsatz einer komplexen Infrastruktur.
Die vorgeschlagene TLS-Erweiterung Delegated Credentials führt einen zusätzlichen privaten Zwischenschlüssel ein, dessen Gültigkeit auf Stunden oder mehrere Tage (nicht mehr als 7 Tage) begrenzt ist. Dieser Schlüssel wird auf der Grundlage eines von einer Zertifizierungsstelle ausgestellten Zertifikats generiert und ermöglicht es Ihnen, den privaten Schlüssel des Originalzertifikats vor Inhaltsbereitstellungsdiensten geheim zu halten und diesen nur ein temporäres Zertifikat mit kurzer Lebensdauer zur Verfügung zu stellen.
Um Zugriffsprobleme nach Ablauf des Zwischenschlüssels zu vermeiden, wird eine automatische Update-Technologie bereitgestellt, die auf der Seite des ursprünglichen TLS-Servers durchgeführt wird. Für die Generierung sind keine manuellen Vorgänge oder die Ausführung von Skripten erforderlich. Ein autorisierter Server, der einen privaten Schlüssel benötigt, kontaktiert vor Ablauf der Lebensdauer des vorherigen Schlüssels den ursprünglichen TLS-Server der Site und generiert einen Zwischenschlüssel für die nächste kurze Zeitspanne.
Browser, die die TLS-Erweiterung „Delegated Credentials“ unterstützen, behandeln solche abgeleiteten Zertifikate als vertrauenswürdig. Beispielsweise wurde die Unterstützung für die angegebene Erweiterung bereits zu Nightly Builds und Beta-Versionen von Firefox hinzugefügt und kann in about:config durch Ändern der Einstellung „security.tls.enable_delegated_credentials“ aktiviert werden. Mitte November ist außerdem ein Experiment mit einem bestimmten Prozentsatz der Benutzer von Testversionen von Firefox geplant.„, innerhalb dessen eine Testanfrage an den Cloudflare DC-Server gesendet wird, um die Qualität der Implementierung der neuen TLS-Erweiterung zu überprüfen. Die Unterstützung für delegierte Anmeldeinformationen ist ebenfalls bereits in die Bibliothek integriert mit TLS 1.3-Implementierung.
Die Delegated Credentials-Spezifikation wurde dem IETF-Komitee (Internet Engineering Task Force) vorgelegt, das für die Entwicklung von Internetprotokollen und -architekturen verantwortlich ist und sich dort befindet , der behauptet, ein Internetstandard zu sein. Die Delegated Credentials-Erweiterung kann nur mit TLSv1.3 verwendet werden.
Um Zwischenschlüssel zu generieren, müssen Sie ein TLS-Zertifikat erwerben, das eine spezielle X.509-Erweiterung enthält, die derzeit nur von der DigiCert-Zertifizierungsstelle unterstützt wird.
Source: opennet.ru