Luzapen berria erabilgarria izan daiteke karga-orekatzaile kopuru handia duten banatutako azpiegitura handi batean jarduten duten guneetarako ere. Eskuordetutako kredentzialek edukia bidaltzeko nodo bakoitzean ziurtagiri nagusien gako pribatuen kopiak gordetzea saihestuko dute. Planteamendu klasikoarekin, HTTPS trafikoa bidaltzean parte hartzen duten zerbitzarietako edozeinen aurkako eraso arrakastatsu batek ziurtagiri osoa arriskuan jarriko du. Gako pribatuak edukiak bidaltzeko sareetara transferitzen badira, datu-ihesaren mehatxuak daude langileen sabotajeen, inteligentzia agentzien ekintzen edo CDN azpiegituraren arriskuaren ondorioz.
Gakoen ihesa hautematen ez bada, gakoetarako sarbidea lortu dutenek denbora luzez guneko trafikoan (MITM) detektaezin zirikatu ahal izango dute, ziurtagirien balio-epeak hilabete eta urtetan kalkulatzen baitira. Cloudflare-k ziurtagirien gakoak babes ditzake
Proposatutako TLS luzapena Delegated Credentials tarteko gako pribatu gehigarri bat sartzen du, zeinaren indarraldia orduetara edo hainbat egunetara mugatzen da (7 egun baino gehiago). Gako hau ziurtagiri-agintari batek igorritako ziurtagiri batean oinarrituta sortzen da eta jatorrizko ziurtagiriaren gako pribatua sekretuan gordetzeko aukera ematen du edukiak bidaltzeko zerbitzuetatik, bizitza laburreko aldi baterako ziurtagiri bakarra eskainiz.
Tarteko gakoa iraungi ondoren sarbide-arazoak saihesteko, eguneratze automatikoko teknologia bat eskaintzen da, jatorrizko TLS zerbitzariaren aldean egiten dena. Sorkuntzak ez du eskuzko eragiketarik edo gidoirik exekutatzen behar - gako pribatu bat behar duen baimendutako zerbitzariak, aurreko gakoaren bizitza iraungi baino lehen, guneko jatorrizko TLS zerbitzariarekin harremanetan jartzen da eta tarteko gako bat sortzen du hurrengo denbora-tarte laburrerako.
Delegated Credentials TLS luzapena onartzen duten arakatzaileek eratorritako ziurtagiri horiek fidagarritzat hartuko dituzte. Esate baterako, zehaztutako luzapenerako euskarria gehitu da dagoeneko Firefox-en gaueko eraikuntza eta beta bertsioetan eta about:config-en aktiba daiteke "security.tls.enable_delegated_credentials" ezarpena aldatuz. Azaroaren erdialdean, Firefoxen probako bertsioen erabiltzaileen ehuneko jakin baten artean esperimentu bat egitea ere aurreikusi da.
Delegated Credentials zehaztapena IETF (Internet Engineering Task Force) batzordeari aurkeztu zaio, hau da, Interneteko protokoloen eta arkitekturaren garapenaz arduratzen dena, eta bertan dago.
Tarteko gakoak sortzeko, X.509 luzapen berezi bat duen TLS ziurtagiria lortu behar duzu, gaur egun DigiCert ziurtagiri-agintaritzak soilik onartzen duena.
Iturria: opennet.ru