Uusi laajennus voi olla hyödyllinen myös sivustoille, jotka toimivat suuressa hajautetussa infrastruktuurissa, jossa on suuri määrä kuormituksen tasaajia. Delegoidut valtuustiedot välttävät tallentamasta kopioita tärkeimpien varmenteiden yksityisistä avaimista jokaiseen sisällön toimitussolmuun. Klassisella lähestymistavalla onnistunut hyökkäys mitä tahansa HTTPS-liikenteen lähettämiseen osallistuvaa palvelimia vastaan johtaa koko varmenteen vaarantumiseen. Jos yksityisiä avaimia siirretään sisällönjakeluverkkoihin, on olemassa tietovuodon uhkia henkilöstön sabotoinnin, tiedustelupalvelujen toiminnan tai CDN-infrastruktuurin vaarantamisen seurauksena.
Jos avainvuoto jää havaitsematta, avaimiin päässeet voivat kiilata itsensä havaitsematta sivustoliikenteeseen (MITM) varsin pitkäksi aikaa, koska varmenteiden voimassaoloajat lasketaan kuukausina ja vuosina. Cloudflare voi suojata varmenneavaimia
Ehdotettu TLS-laajennus Delegated Credentials ottaa käyttöön ylimääräisen yksityisen väliavaimen, jonka voimassaoloaika on rajoitettu tunteihin tai useisiin päiviin (enintään 7 päivää). Tämä avain luodaan varmenneviranomaisen myöntämän varmenteen perusteella, ja sen avulla voit pitää alkuperäisen varmenteen yksityisen avaimen salassa sisällönjakelupalveluilta tarjoamalla heille vain väliaikaisen varmenteen, jonka käyttöikä on lyhyt.
Pääsyongelmien välttämiseksi väliavaimen umpeutumisen jälkeen tarjotaan automaattinen päivitystekniikka, joka suoritetaan alkuperäisen TLS-palvelimen puolella. Luominen ei vaadi manuaalisia toimintoja tai komentosarjojen suorittamista - valtuutettu palvelin, joka vaatii yksityisen avaimen, ottaa ennen edellisen avaimen käyttöiän umpeutumista yhteyttä sivuston alkuperäiseen TLS-palvelimeen ja luo väliavaimen seuraavalle lyhyelle ajanjaksolle.
Delegated Credentials TLS -laajennusta tukevat selaimet käsittelevät tällaisia johdettuja varmenteita luotettavina. Esimerkiksi määritetyn laajennuksen tuki on jo lisätty Firefoxin öisiin koontiversioihin ja beta-versioihin, ja se voidaan aktivoida about:configissa muuttamalla "security.tls.enable_delegated_credentials" -asetusta. Marraskuun puolivälissä on myös tarkoitus tehdä kokeilu tietyn prosenttiosuuden Firefoxin testiversioiden käyttäjistä.
Delegated Credentials -spesifikaatio on toimitettu IETF (Internet Engineering Task Force) -komitealle, joka vastaa Internet-protokollien ja -arkkitehtuurin kehittämisestä.
Väliavainten luomiseksi sinun on hankittava TLS-sertifikaatti, joka sisältää erityisen X.509-laajennuksen, jota tällä hetkellä tukee vain DigiCert-varmenneviranomainen.
Lähde: opennet.ru