, ΠΈ elkarrekin iragarri dute TLS luzapen berria (DC), ziurtagirien arazoa konponduz gune baterako sarbidea antolatzean edukiak bidaltzeko sareen bidez. Ziurtagiri-agintariek emandako ziurtagiriek balio-epe luzea dute, eta horrek zailtasunak sortzen ditu gune baterako sarbidea hirugarrenen zerbitzu baten bidez antolatzea beharrezkoa denean, eta horren izenean konexio segurua ezarri behar da, gunearen ziurtagiria kanpoko batera transferitzen denean. zerbitzuak segurtasun mehatxu gehigarriak sortzen ditu.
Luzapen berria erabilgarria izan daiteke karga-orekatzaile kopuru handia duten banatutako azpiegitura handi batean jarduten duten guneetarako ere. Eskuordetutako kredentzialek edukia bidaltzeko nodo bakoitzean ziurtagiri nagusien gako pribatuen kopiak gordetzea saihestuko dute. Planteamendu klasikoarekin, HTTPS trafikoa bidaltzean parte hartzen duten zerbitzarietako edozeinen aurkako eraso arrakastatsu batek ziurtagiri osoa arriskuan jarriko du. Gako pribatuak edukiak bidaltzeko sareetara transferitzen badira, datu-ihesaren mehatxuak daude langileen sabotajeen, inteligentzia agentzien ekintzen edo CDN azpiegituraren arriskuaren ondorioz.
Gakoen ihesa hautematen ez bada, gakoetarako sarbidea lortu dutenek denbora luzez guneko trafikoan (MITM) detektaezin zirikatu ahal izango dute, ziurtagirien balio-epeak hilabete eta urtetan kalkulatzen baitira. Cloudflare-k ziurtagirien gakoak babes ditzake gako-zerbitzari bereziak gunearen jabearen alboan jarduten dira, baina modu honetan lan egiteak atzerapen handiak eragiten ditu trafikoaren entregan, fidagarritasuna murrizten du lotura gehigarri bat agertzeagatik eta azpiegitura konplexuak hedatzea eskatzen du.
Proposatutako TLS luzapena Delegated Credentials tarteko gako pribatu gehigarri bat sartzen du, zeinaren indarraldia orduetara edo hainbat egunetara mugatzen da (7 egun baino gehiago). Gako hau ziurtagiri-agintari batek igorritako ziurtagiri batean oinarrituta sortzen da eta jatorrizko ziurtagiriaren gako pribatua sekretuan gordetzeko aukera ematen du edukiak bidaltzeko zerbitzuetatik, bizitza laburreko aldi baterako ziurtagiri bakarra eskainiz.
Tarteko gakoa iraungi ondoren sarbide-arazoak saihesteko, eguneratze automatikoko teknologia bat eskaintzen da, jatorrizko TLS zerbitzariaren aldean egiten dena. Sorkuntzak ez du eskuzko eragiketarik edo gidoirik exekutatzen behar - gako pribatu bat behar duen baimendutako zerbitzariak, aurreko gakoaren bizitza iraungi baino lehen, guneko jatorrizko TLS zerbitzariarekin harremanetan jartzen da eta tarteko gako bat sortzen du hurrengo denbora-tarte laburrerako.
Delegated Credentials TLS luzapena onartzen duten arakatzaileek eratorritako ziurtagiri horiek fidagarritzat hartuko dituzte. Esate baterako, zehaztutako luzapenerako euskarria gehitu da dagoeneko Firefox-en gaueko eraikuntza eta beta bertsioetan eta about:config-en aktiba daiteke "security.tls.enable_delegated_credentials" ezarpena aldatuz. Azaroaren erdialdean, Firefoxen probako bertsioen erabiltzaileen ehuneko jakin baten artean esperimentu bat egitea ere aurreikusi da.", zeinaren barruan proba eskaera bat bidaliko da Cloudflare DC zerbitzariari TLS luzapen berriaren ezarpenaren kalitatea egiaztatzeko. Eskuordetutako Kredentzialen euskarria dagoeneko liburutegian sartuta dago TLS 1.3 inplementazioarekin.
Delegated Credentials zehaztapena IETF (Internet Engineering Task Force) batzordeari aurkeztu zaio, hau da, Interneteko protokoloen eta arkitekturaren garapenaz arduratzen dena, eta bertan dago. , Interneteko estandarra dela dioena. Delegated Credentials luzapena TLSv1.3-rekin soilik erabil daiteke.
Tarteko gakoak sortzeko, X.509 luzapen berezi bat duen TLS ziurtagiria lortu behar duzu, gaur egun DigiCert ziurtagiri-agintaritzak soilik onartzen duena.
Iturria: opennet.ru