, и ilmoitti yhdessä uudesta TLS-laajennuksesta (DC), ratkaisee ongelman varmenteilla organisoitaessa pääsyä sivustolle sisällönjakeluverkkojen kautta. Varmentajien myöntämillä varmenteilla on pitkä voimassaoloaika, mikä aiheuttaa vaikeuksia, kun on tarpeen järjestää pääsy sivustolle kolmannen osapuolen palvelun kautta, jonka puolesta on muodostettava suojattu yhteys, koska sivuston varmenne siirretään ulkopuoliselle palvelu luo lisäturvauhkia.
Uusi laajennus voi olla hyödyllinen myös sivustoille, jotka toimivat suuressa hajautetussa infrastruktuurissa, jossa on suuri määrä kuormituksen tasaajia. Delegoidut valtuustiedot välttävät tallentamasta kopioita tärkeimpien varmenteiden yksityisistä avaimista jokaiseen sisällön toimitussolmuun. Klassisella lähestymistavalla onnistunut hyökkäys mitä tahansa HTTPS-liikenteen lähettämiseen osallistuvaa palvelimia vastaan johtaa koko varmenteen vaarantumiseen. Jos yksityisiä avaimia siirretään sisällönjakeluverkkoihin, on olemassa tietovuodon uhkia henkilöstön sabotoinnin, tiedustelupalvelujen toiminnan tai CDN-infrastruktuurin vaarantamisen seurauksena.
Jos avainvuoto jää havaitsematta, avaimiin päässeet voivat kiilata itsensä havaitsematta sivustoliikenteeseen (MITM) varsin pitkäksi aikaa, koska varmenteiden voimassaoloajat lasketaan kuukausina ja vuosina. Cloudflare voi suojata varmenneavaimia erityiset avainpalvelimet, jotka toimivat sivuston omistajan puolella, mutta tässä tilassa työskentely johtaa merkittäviin viivästyksiin liikenteen toimittamisessa, heikentää luotettavuutta lisälinkin ilmestymisen vuoksi ja vaatii monimutkaisen infrastruktuurin käyttöönottoa.
Ehdotettu TLS-laajennus Delegated Credentials ottaa käyttöön ylimääräisen yksityisen väliavaimen, jonka voimassaoloaika on rajoitettu tunteihin tai useisiin päiviin (enintään 7 päivää). Tämä avain luodaan varmenneviranomaisen myöntämän varmenteen perusteella, ja sen avulla voit pitää alkuperäisen varmenteen yksityisen avaimen salassa sisällönjakelupalveluilta tarjoamalla heille vain väliaikaisen varmenteen, jonka käyttöikä on lyhyt.
Pääsyongelmien välttämiseksi väliavaimen umpeutumisen jälkeen tarjotaan automaattinen päivitystekniikka, joka suoritetaan alkuperäisen TLS-palvelimen puolella. Luominen ei vaadi manuaalisia toimintoja tai komentosarjojen suorittamista - valtuutettu palvelin, joka vaatii yksityisen avaimen, ottaa ennen edellisen avaimen käyttöiän umpeutumista yhteyttä sivuston alkuperäiseen TLS-palvelimeen ja luo väliavaimen seuraavalle lyhyelle ajanjaksolle.
Delegated Credentials TLS -laajennusta tukevat selaimet käsittelevät tällaisia johdettuja varmenteita luotettavina. Esimerkiksi määritetyn laajennuksen tuki on jo lisätty Firefoxin öisiin koontiversioihin ja beta-versioihin, ja se voidaan aktivoida about:configissa muuttamalla "security.tls.enable_delegated_credentials" -asetusta. Marraskuun puolivälissä on myös tarkoitus tehdä kokeilu tietyn prosenttiosuuden Firefoxin testiversioiden käyttäjistä.", jossa Cloudflare DC -palvelimelle lähetetään testipyyntö uuden TLS-laajennuksen toteutuksen laadun tarkistamiseksi. Valtuutettujen käyttöoikeustietojen tuki on myös jo sisäänrakennettu kirjastoon TLS 1.3 -toteutuksen kanssa.
Delegated Credentials -spesifikaatio on toimitettu IETF (Internet Engineering Task Force) -komitealle, joka vastaa Internet-protokollien ja -arkkitehtuurin kehittämisestä. , joka väittää olevansa Internet-standardi. Delegated Credentials -laajennusta voidaan käyttää vain TLSv1.3:n kanssa.
Väliavainten luomiseksi sinun on hankittava TLS-sertifikaatti, joka sisältää erityisen X.509-laajennuksen, jota tällä hetkellä tukee vain DigiCert-varmenneviranomainen.
Lähde: opennet.ru