, и kundige tegearre in nije TLS-útwreiding oan (DC), it probleem mei sertifikaten oplosse by it organisearjen fan tagong ta in side fia netwurken foar levering fan ynhâld. Sertifikaten útjûn troch sertifisearingsautoriteiten hawwe in lange jildigensperioade, wat swierrichheden makket as it nedich is om tagong ta in side te organisearjen fia in tsjinst fan tredden, út namme fan wêrfan in feilige ferbining moat wurde oprjochte, sûnt it oerdragen fan it sertifikaat fan 'e side nei in eksterne tsjinst soarget foar ekstra feiligens bedrigings.
De nije útwreiding kin ek nuttich wêze foar siden dy't operearje op in grutte ferspraat ynfrastruktuer mei in grut oantal load balancers. Delegearre referinsjes sille foarkomme dat kopyen fan 'e privee kaaien fan' e haadsertifikaten op elke knooppunt foar levering fan ynhâld opslaan. Mei de klassike oanpak sil in suksesfolle oanfal op ien fan 'e servers belutsen by it ferstjoeren fan HTTPS-ferkear liede ta it kompromis fan it folsleine sertifikaat. As partikuliere kaaien wurde oerdroegen oan netwurken foar levering fan ynhâld, binne d'r bedrigingen fan gegevenslekkage as gefolch fan sabotaazje troch personiel, aksjes fan yntelliginsje-ynstânsjes, of kompromis fan 'e CDN-ynfrastruktuer.
As in kaailek net ûntdutsen wurdt, sille dejingen dy't tagong hawwe ta de kaaien hawwe, harsels in frij lange tiid undetectably wedge yn siteferkear (MITM), om't de jildigensperioaden fan sertifikaten wurde berekkene yn moannen en jierren. Cloudflare kin sertifikaatkaaien beskermje troch spesjale kaai tsjinners dy't operearje oan 'e kant fan' e side-eigner, mar wurkje yn dizze modus liedt ta signifikante fertragingen yn ferkear levering, ferleget betrouberens fanwege it uterlik fan in ekstra keppeling en fereasket de ynset fan komplekse ynfrastruktuer.
De foarstelde TLS-útwreiding Delegated Credentials yntrodusearret in ekstra tuskenlizzende privee kaai, wêrfan de jildigens is beheind ta oeren of ferskate dagen (net mear as 7 dagen). Dizze kaai wurdt oanmakke op basis fan in sertifikaat útjûn troch in sertifisearringsautoriteit en lit jo de privee kaai fan it orizjinele sertifikaat geheim hâlde fan tsjinsten foar levering fan ynhâld, en jouwe se allinich in tydlik sertifikaat mei in koart libben.
Om tagongsproblemen te foarkommen nei't de tuskenkaai ferrûn is, wurdt in automatyske updatetechnology levere dy't wurdt útfierd oan 'e kant fan' e orizjinele TLS-tsjinner. Generaasje fereasket gjin hânmjittige operaasjes of rinnende skripts - in autorisearre tsjinner dy't in privee kaai fereasket, foardat it libben fan 'e foarige kaai ferrint, kontaktet de orizjinele TLS-tsjinner fan' e side en it genereart in tuskenkaai foar de folgjende koarte tiid.
Browsers dy't de Delegated Credentials TLS-útwreiding stypje, sille sokke ôflaat sertifikaten behannelje as betrouber. Bygelyks, stipe foar de oantsjutte tafoeging is al tafoege oan nachtlike builds en beta-ferzjes fan Firefox en kin aktivearre wurde yn about:config troch it feroarjen fan de "security.tls.enable_delegated_credentials" ynstelling. Mids novimber is ek in eksperimint pland om te fieren ûnder in bepaald persintaazje brûkers fan testferzjes fan Firefox "", wêryn in testfersyk sil stjoerd wurde nei de Cloudflare DC-tsjinner om de kwaliteit fan 'e ymplemintaasje fan' e nije TLS-útwreiding te kontrolearjen. Stipe foar Delegated Credentials is ek al ynboud yn 'e bibleteek mei TLS 1.3 ymplemintaasje.
De spesifikaasje fan Delegated Credentials is yntsjinne oan 'e IETF (Internet Engineering Task Force) kommisje, dy't ferantwurdlik is foar de ûntwikkeling fan ynternetprotokollen en arsjitektuer, en is by de , dy't beweart in ynternetstandert te wêzen. De tafoeging fan Delegated Credentials kin allinich brûkt wurde mei TLSv1.3.
Om tuskenlizzende kaaien te generearjen, moatte jo in TLS-sertifikaat krije dat in spesjale X.509-útwreiding omfettet, dy't op it stuit allinich stipe wurdt troch de DigiCert-sertifikaasjeautoriteit.
Boarne: opennet.ru
