La nova etendaĵo ankaŭ povas esti utila por retejoj kiuj funkcias sur granda distribuita infrastrukturo kun granda nombro da ŝarĝbalanciloj. Delegitaj Akreditaĵoj evitos stoki kopiojn de la privataj ŝlosiloj de la ĉefaj atestiloj sur ĉiu enhav-livera nodo. Kun la klasika aliro, sukcesa atako kontraŭ iu ajn el la serviloj implikitaj en sendado de HTTPS-trafiko kondukos al la kompromiso de la tuta atestilo. Se privataj ŝlosiloj estas transdonitaj al enhavaj liverretoj, ekzistas minacoj de datumfluado kiel rezulto de sabotado de personaro, agoj de spionaj agentejoj aŭ kompromiso de la CDN-infrastrukturo.
Se ŝlosila liko restas nerimarkita, tiuj, kiuj akiris aliron al la ŝlosiloj, povos nerimarkeble kojni sin en la trafikon de la retejo (MITM) dum sufiĉe longa tempo, ĉar la validecperiodoj de atestiloj estas kalkulitaj en monatoj kaj jaroj. Cloudflare povas protekti atestilŝlosilojn per
La proponita TLS-etendo Delegated Credentials enkondukas aldonan mezan privatan ŝlosilon, kies valideco estas limigita al horoj aŭ pluraj tagoj (ne pli ol 7 tagoj). Ĉi tiu ŝlosilo estas generita surbaze de atestilo eldonita de atestadaŭtoritato kaj permesas vin konservi la privatan ŝlosilon de la originala atestilo sekreta de enhavaj liveraj servoj, provizante al ili nur provizoran atestilon kun mallonga vivdaŭro.
Por eviti alirproblemojn post kiam la meza ŝlosilo eksvalidiĝis, aŭtomata ĝisdatiga teknologio estas provizita, kiu estas farita flanke de la origina TLS-servilo. Generacio ne postulas manajn operaciojn aŭ kurantajn skriptojn - rajtigita servilo kiu postulas privatan ŝlosilon, antaŭ ol la vivdaŭro de la antaŭa ŝlosilo eksvalidiĝas, kontaktas la originan TLS-servilon de la retejo kaj ĝi generas mezan ŝlosilon por la venonta mallonga tempodaŭro.
Retumiloj, kiuj subtenas la etendon de Delegated Credentials TLS, traktos tiajn derivitajn atestilojn kiel fidindajn. Ekzemple, subteno por la specifita etendaĵo jam estis aldonita al noktaj konstruoj kaj beta-versioj de Fajrovulpo kaj povas esti aktivigita en about:config ŝanĝante la agordon "security.tls.enable_delegated_credentials". Meze de novembro, eksperimento ankaŭ estas planita por esti farita inter certa procento de uzantoj de testaj versioj de Firefox "
La specifo de Delegated Credentials estis prezentita al la komitato de IETF (Interreta Inĝenieristiko Task Force), kiu respondecas pri la evoluo de Interretaj protokoloj kaj arkitekturo, kaj estas ĉe la
Por generi mezajn ŝlosilojn, vi devas akiri TLS-atestilon, kiu inkluzivas specialan etendon X.509, kiu estas nuntempe subtenata nur de la atestadaŭtoritato de DigiCert.
fonto: opennet.ru