, и kune anoncis novan TLS-etendaĵon (DC), solvante la problemon kun atestiloj dum organizado de aliro al retejo per enhavaj liverretoj. Atestiloj eldonitaj de atestaj aŭtoritatoj havas longan validecperiodon, kiu kreas malfacilaĵojn kiam necesas organizi aliron al retejo per triaparta servo, nome de kiu devas esti establita sekura konekto, ekde transdono de la atestilo de la retejo al ekstera. servo kreas pliajn sekurecminacojn.
La nova etendaĵo ankaŭ povas esti utila por retejoj kiuj funkcias sur granda distribuita infrastrukturo kun granda nombro da ŝarĝbalanciloj. Delegitaj Akreditaĵoj evitos stoki kopiojn de la privataj ŝlosiloj de la ĉefaj atestiloj sur ĉiu enhav-livera nodo. Kun la klasika aliro, sukcesa atako kontraŭ iu ajn el la serviloj implikitaj en sendado de HTTPS-trafiko kondukos al la kompromiso de la tuta atestilo. Se privataj ŝlosiloj estas transdonitaj al enhavaj liverretoj, ekzistas minacoj de datumfluado kiel rezulto de sabotado de personaro, agoj de spionaj agentejoj aŭ kompromiso de la CDN-infrastrukturo.
Se ŝlosila liko restas nerimarkita, tiuj, kiuj akiris aliron al la ŝlosiloj, povos nerimarkeble kojni sin en la trafikon de la retejo (MITM) dum sufiĉe longa tempo, ĉar la validecperiodoj de atestiloj estas kalkulitaj en monatoj kaj jaroj. Cloudflare povas protekti atestilŝlosilojn per specialaj ŝlosilaj serviloj funkciigantaj flanke de la posedanto de la retejo, sed labori en ĉi tiu reĝimo kondukas al gravaj malfruoj en trafika livero, reduktas fidindecon pro la apero de plia ligo kaj postulas la disfaldiĝon de kompleksa infrastrukturo.
La proponita TLS-etendo Delegated Credentials enkondukas aldonan mezan privatan ŝlosilon, kies valideco estas limigita al horoj aŭ pluraj tagoj (ne pli ol 7 tagoj). Ĉi tiu ŝlosilo estas generita surbaze de atestilo eldonita de atestadaŭtoritato kaj permesas vin konservi la privatan ŝlosilon de la originala atestilo sekreta de enhavaj liveraj servoj, provizante al ili nur provizoran atestilon kun mallonga vivdaŭro.
Por eviti alirproblemojn post kiam la meza ŝlosilo eksvalidiĝis, aŭtomata ĝisdatiga teknologio estas provizita, kiu estas farita flanke de la origina TLS-servilo. Generacio ne postulas manajn operaciojn aŭ kurantajn skriptojn - rajtigita servilo kiu postulas privatan ŝlosilon, antaŭ ol la vivdaŭro de la antaŭa ŝlosilo eksvalidiĝas, kontaktas la originan TLS-servilon de la retejo kaj ĝi generas mezan ŝlosilon por la venonta mallonga tempodaŭro.
Retumiloj, kiuj subtenas la etendon de Delegated Credentials TLS, traktos tiajn derivitajn atestilojn kiel fidindajn. Ekzemple, subteno por la specifita etendaĵo jam estis aldonita al noktaj konstruoj kaj beta-versioj de Fajrovulpo kaj povas esti aktivigita en about:config ŝanĝante la agordon "security.tls.enable_delegated_credentials". Meze de novembro, eksperimento ankaŭ estas planita por esti farita inter certa procento de uzantoj de testaj versioj de Firefox "", ene de kiu testa peto estos sendita al la Cloudflare DC-servilo por kontroli la kvaliton de la efektivigo de la nova TLS-etendo. Subteno por Delegitaj Akreditaĵoj ankaŭ jam estas enkonstruita en la biblioteko kun TLS 1.3 efektivigo.
La specifo de Delegated Credentials estis prezentita al la komitato de IETF (Interreta Inĝenieristiko Task Force), kiu respondecas pri la evoluo de Interretaj protokoloj kaj arkitekturo, kaj estas ĉe la , kiu asertas esti interreta normo. La etendo de Delegad Credentials nur povas esti uzata kun TLSv1.3.
Por generi mezajn ŝlosilojn, vi devas akiri TLS-atestilon, kiu inkluzivas specialan etendon X.509, kiu estas nuntempe subtenata nur de la atestadaŭtoritato de DigiCert.
fonto: opennet.ru