La nouvelle extension peut également être utile pour les sites qui fonctionnent sur une grande infrastructure distribuée avec un grand nombre d'équilibreurs de charge. Les informations d'identification déléguées éviteront de stocker des copies des clés privées des certificats principaux sur chaque nœud de livraison de contenu. Avec l'approche classique, une attaque réussie sur l'un des serveurs impliqués dans l'envoi du trafic HTTPS entraînera la compromission de l'intégralité du certificat. Si des clés privées sont transférées vers des réseaux de diffusion de contenu, il existe des risques de fuite de données résultant d'un sabotage du personnel, d'actions des agences de renseignement ou d'une compromission de l'infrastructure CDN.
Si une fuite de clé n'est pas détectée, ceux qui ont accès aux clés pourront se retrouver indétectables dans le trafic du site (MITM) pendant assez longtemps, puisque les périodes de validité des certificats sont calculées en mois et en années. Cloudflare peut protéger les clés de certificat en
L'extension TLS proposée Delegated Credentials introduit une clé privée intermédiaire supplémentaire, dont la validité est limitée à quelques heures ou plusieurs jours (pas plus de 7 jours). Cette clé est générée sur la base d'un certificat délivré par une autorité de certification et vous permet de garder secrète la clé privée du certificat d'origine des services de diffusion de contenu, en leur fournissant uniquement un certificat temporaire à courte durée de vie.
Afin d'éviter les problèmes d'accès après l'expiration de la clé intermédiaire, une technologie de mise à jour automatique est fournie, effectuée du côté du serveur TLS d'origine. La génération ne nécessite pas d'opérations manuelles ni d'exécution de scripts - un serveur autorisé qui nécessite une clé privée, avant l'expiration de la durée de vie de la clé précédente, contacte le serveur TLS d'origine du site et génère une clé intermédiaire pour la courte période de temps suivante.
Les navigateurs qui prennent en charge l’extension TLS Delegated Credentials traiteront ces certificats dérivés comme étant dignes de confiance. Par exemple, la prise en charge de l'extension spécifiée a déjà été ajoutée aux versions nocturnes et aux versions bêta de Firefox et peut être activée dans about:config en modifiant le paramètre « security.tls.enable_delegated_credentials ». A la mi-novembre, une expérimentation est également prévue auprès d'un certain pourcentage d'utilisateurs de versions de test de Firefox"
La spécification Delegated Credentials a été soumise au comité de l'IETF (Internet Engineering Task Force), responsable du développement des protocoles et de l'architecture Internet, et est en cours d'élaboration.
Pour générer des clés intermédiaires, vous devez obtenir un certificat TLS incluant une extension X.509 spéciale, actuellement prise en charge uniquement par l'autorité de certification DigiCert.
Source: opennet.ru