, и a annoncé conjointement une nouvelle extension TLS (DC), résolvant le problème des certificats lors de l'organisation de l'accès à un site via des réseaux de diffusion de contenu. Les certificats délivrés par les autorités de certification ont une durée de validité longue, ce qui crée des difficultés lorsqu'il est nécessaire d'organiser l'accès à un site via un service tiers, pour le compte duquel une connexion sécurisée doit être établie, puisque le transfert du certificat du site vers un tiers Le service crée des menaces de sécurité supplémentaires.
La nouvelle extension peut également être utile pour les sites qui fonctionnent sur une grande infrastructure distribuée avec un grand nombre d'équilibreurs de charge. Les informations d'identification déléguées éviteront de stocker des copies des clés privées des certificats principaux sur chaque nœud de livraison de contenu. Avec l'approche classique, une attaque réussie sur l'un des serveurs impliqués dans l'envoi du trafic HTTPS entraînera la compromission de l'intégralité du certificat. Si des clés privées sont transférées vers des réseaux de diffusion de contenu, il existe des risques de fuite de données résultant d'un sabotage du personnel, d'actions des agences de renseignement ou d'une compromission de l'infrastructure CDN.
Si une fuite de clé n'est pas détectée, ceux qui ont accès aux clés pourront se retrouver indétectables dans le trafic du site (MITM) pendant assez longtemps, puisque les périodes de validité des certificats sont calculées en mois et en années. Cloudflare peut protéger les clés de certificat en des serveurs de clés spéciaux fonctionnant du côté du propriétaire du site, mais travailler dans ce mode entraîne des retards importants dans l'acheminement du trafic, réduit la fiabilité en raison de l'apparition d'un lien supplémentaire et nécessite le déploiement d'une infrastructure complexe.
L'extension TLS proposée Delegated Credentials introduit une clé privée intermédiaire supplémentaire, dont la validité est limitée à quelques heures ou plusieurs jours (pas plus de 7 jours). Cette clé est générée sur la base d'un certificat délivré par une autorité de certification et vous permet de garder secrète la clé privée du certificat d'origine des services de diffusion de contenu, en leur fournissant uniquement un certificat temporaire à courte durée de vie.
Afin d'éviter les problèmes d'accès après l'expiration de la clé intermédiaire, une technologie de mise à jour automatique est fournie, effectuée du côté du serveur TLS d'origine. La génération ne nécessite pas d'opérations manuelles ni d'exécution de scripts - un serveur autorisé qui nécessite une clé privée, avant l'expiration de la durée de vie de la clé précédente, contacte le serveur TLS d'origine du site et génère une clé intermédiaire pour la courte période de temps suivante.
Les navigateurs qui prennent en charge l’extension TLS Delegated Credentials traiteront ces certificats dérivés comme étant dignes de confiance. Par exemple, la prise en charge de l'extension spécifiée a déjà été ajoutée aux versions nocturnes et aux versions bêta de Firefox et peut être activée dans about:config en modifiant le paramètre « security.tls.enable_delegated_credentials ». A la mi-novembre, une expérimentation est également prévue auprès d'un certain pourcentage d'utilisateurs de versions de test de Firefox"», dans lequel une demande de test sera envoyée au serveur Cloudflare DC pour vérifier la qualité de la mise en œuvre de la nouvelle extension TLS. La prise en charge des informations d'identification déléguées est également déjà intégrée à la bibliothèque avec l'implémentation de TLS 1.3.
La spécification Delegated Credentials a été soumise au comité de l'IETF (Internet Engineering Task Force), responsable du développement des protocoles et de l'architecture Internet, et est en cours d'élaboration. , qui prétend être une norme Internet. L'extension Delegated Credentials ne peut être utilisée qu'avec TLSv1.3.
Pour générer des clés intermédiaires, vous devez obtenir un certificat TLS incluant une extension X.509 spéciale, actuellement prise en charge uniquement par l'autorité de certification DigiCert.
Source: opennet.ru