A nova extensión tamén pode ser útil para sitios que operan nunha gran infraestrutura distribuída cun gran número de equilibradores de carga. As credenciais delegadas evitarán almacenar copias das claves privadas dos certificados principais en cada nodo de entrega de contido. Co enfoque clásico, un ataque exitoso a calquera dos servidores implicados no envío de tráfico HTTPS levará ao compromiso de todo o certificado. Se as claves privadas se transfiren ás redes de entrega de contidos, hai ameazas de fuga de datos como resultado da sabotaxe do persoal, accións das axencias de intelixencia ou compromiso da infraestrutura CDN.
Se unha fuga de chave non se detecta, os que accederon ás claves poderán meterse indetectablemente no tráfico do sitio (MITM) durante bastante tempo, xa que os períodos de validez dos certificados calcúlanse en meses e anos. Cloudflare pode protexer as claves de certificado mediante
A extensión TLS proposta Credenciais delegadas introduce unha clave privada intermedia adicional, cuxa validez está limitada a horas ou varios días (non máis de 7 días). Esta clave xérase en base a un certificado emitido por unha autoridade de certificación e permítelle manter en segredo a clave privada do certificado orixinal dos servizos de entrega de contido, proporcionándolles só un certificado temporal cunha vida útil curta.
Para evitar problemas de acceso despois de caducar a chave intermedia, ofrécese unha tecnoloxía de actualización automática que se realiza no lado do servidor TLS orixinal. A xeración non require operacións manuais nin execución de scripts: un servidor autorizado que require unha chave privada, antes de que caduque a vida útil da chave anterior, contacta co servidor TLS orixinal do sitio e xera unha chave intermedia para o seguinte breve período de tempo.
Os navegadores que admitan a extensión TLS de credenciais delegadas tratarán estes certificados derivados como fiables. Por exemplo, o soporte para a extensión especificada xa se engadiu ás compilacións nocturnas e ás versións beta de Firefox e pódese activar en about:config cambiando a configuración de "security.tls.enable_delegated_credentials". A mediados de novembro tamén está previsto realizar un experimento entre unha determinada porcentaxe de usuarios de versións de proba de Firefox.
A especificación de credenciais delegadas foi presentada ao comité IETF (Internet Engineering Task Force), que é responsable do desenvolvemento de protocolos e arquitectura de Internet, e está no
Para xerar claves intermedias, cómpre obter un certificado TLS que inclúa unha extensión X.509 especial, que actualmente só admite a autoridade de certificación DigiCert.
Fonte: opennet.ru