, и anunciaron conjuntamente una nueva extensión TLS (DC), resolviendo el problema de los certificados a la hora de organizar el acceso a un sitio a través de redes de entrega de contenidos. Los certificados emitidos por las autoridades de certificación tienen un período de validez prolongado, lo que crea dificultades cuando es necesario organizar el acceso a un sitio a través de un servicio de terceros, en cuyo nombre se debe establecer una conexión segura, ya que la transferencia del certificado del sitio a un externo El servicio crea amenazas de seguridad adicionales.
La nueva extensión también puede ser útil para sitios que operan en una gran infraestructura distribuida con una gran cantidad de balanceadores de carga. Las Credenciales Delegadas evitarán almacenar copias de las claves privadas de los certificados principales en cada nodo de entrega de contenidos. Con el enfoque clásico, un ataque exitoso a cualquiera de los servidores involucrados en el envío de tráfico HTTPS comprometerá todo el certificado. Si las claves privadas se transfieren a las redes de distribución de contenidos, existen amenazas de fuga de datos como resultado de sabotajes por parte del personal, acciones de agencias de inteligencia o compromiso de la infraestructura CDN.
Si no se detecta una filtración de claves, aquellos que hayan obtenido acceso a las claves podrán meterse de forma indetectable en el tráfico del sitio (MITM) durante bastante tiempo, ya que los períodos de validez de los certificados se calculan en meses y años. Cloudflare puede proteger las claves de los certificados mediante servidores de claves especiales que operan por parte del propietario del sitio, pero trabajar en este modo provoca retrasos significativos en la entrega del tráfico, reduce la confiabilidad debido a la aparición de un enlace adicional y requiere el despliegue de una infraestructura compleja.
La extensión TLS propuesta Credenciales delegadas introduce una clave privada intermedia adicional, cuya validez está limitada a horas o varios días (no más de 7 días). Esta clave se genera en base a un certificado emitido por una autoridad de certificación y le permite mantener en secreto la clave privada del certificado original de los servicios de entrega de contenido, proporcionándoles solo un certificado temporal con una vida útil corta.
Para evitar problemas de acceso después de que la clave intermedia haya caducado, se proporciona una tecnología de actualización automática que se realiza en el lado del servidor TLS original. La generación no requiere operaciones manuales ni ejecutar scripts: un servidor autorizado que requiere una clave privada, antes de que expire la vida útil de la clave anterior, se comunica con el servidor TLS original del sitio y genera una clave intermedia para el siguiente breve período de tiempo.
Los navegadores que admiten la extensión TLS de Credenciales Delegadas tratarán dichos certificados derivados como confiables. Por ejemplo, la compatibilidad con la extensión especificada ya se agregó a las compilaciones nocturnas y a las versiones beta de Firefox y se puede activar en about:config cambiando la configuración "security.tls.enable_delegated_credentials". A mediados de noviembre también está previsto realizar un experimento entre un determinado porcentaje de usuarios de versiones de prueba de Firefox”“, dentro del cual se enviará una solicitud de prueba al servidor DC de Cloudflare para verificar la calidad de la implementación de la nueva extensión TLS. La compatibilidad con credenciales delegadas también está integrada en la biblioteca. con implementación de TLS 1.3.
La especificación de Credenciales Delegadas se ha presentado al comité IETF (Internet Engineering Task Force), que es responsable del desarrollo de los protocolos y la arquitectura de Internet, y está en el , que afirma ser un estándar de Internet. La extensión Credenciales delegadas solo se puede utilizar con TLSv1.3.
Para generar claves intermedias, debe obtener un certificado TLS que incluya una extensión X.509 especial, que actualmente solo es compatible con la autoridad de certificación DigiCert.
Fuente: opennet.ru