, и anunciou conxuntamente unha nova extensión TLS (DC), resolvendo o problema dos certificados ao organizar o acceso a un sitio a través de redes de entrega de contidos. Os certificados emitidos polas autoridades de certificación teñen un longo período de validez, o que crea dificultades cando é necesario organizar o acceso a un sitio a través dun servizo de terceiros, en nome do cal se debe establecer unha conexión segura, xa que se transfire o certificado do sitio a un servizo externo. servizo crea ameazas adicionais de seguridade.
A nova extensión tamén pode ser útil para sitios que operan nunha gran infraestrutura distribuída cun gran número de equilibradores de carga. As credenciais delegadas evitarán almacenar copias das claves privadas dos certificados principais en cada nodo de entrega de contido. Co enfoque clásico, un ataque exitoso a calquera dos servidores implicados no envío de tráfico HTTPS levará ao compromiso de todo o certificado. Se as claves privadas se transfiren ás redes de entrega de contidos, hai ameazas de fuga de datos como resultado da sabotaxe do persoal, accións das axencias de intelixencia ou compromiso da infraestrutura CDN.
Se unha fuga de chave non se detecta, os que accederon ás claves poderán meterse indetectablemente no tráfico do sitio (MITM) durante bastante tempo, xa que os períodos de validez dos certificados calcúlanse en meses e anos. Cloudflare pode protexer as claves de certificado mediante servidores de claves especiais que operan do lado do propietario do sitio, pero traballar neste modo leva a atrasos significativos na entrega do tráfico, reduce a fiabilidade debido á aparición dunha ligazón adicional e require a implantación dunha infraestrutura complexa.
A extensión TLS proposta Credenciais delegadas introduce unha clave privada intermedia adicional, cuxa validez está limitada a horas ou varios días (non máis de 7 días). Esta clave xérase en base a un certificado emitido por unha autoridade de certificación e permítelle manter en segredo a clave privada do certificado orixinal dos servizos de entrega de contido, proporcionándolles só un certificado temporal cunha vida útil curta.
Para evitar problemas de acceso despois de caducar a chave intermedia, ofrécese unha tecnoloxía de actualización automática que se realiza no lado do servidor TLS orixinal. A xeración non require operacións manuais nin execución de scripts: un servidor autorizado que require unha chave privada, antes de que caduque a vida útil da chave anterior, contacta co servidor TLS orixinal do sitio e xera unha chave intermedia para o seguinte breve período de tempo.
Os navegadores que admitan a extensión TLS de credenciais delegadas tratarán estes certificados derivados como fiables. Por exemplo, o soporte para a extensión especificada xa se engadiu ás compilacións nocturnas e ás versións beta de Firefox e pódese activar en about:config cambiando a configuración de "security.tls.enable_delegated_credentials". A mediados de novembro tamén está previsto realizar un experimento entre unha determinada porcentaxe de usuarios de versións de proba de Firefox.", dentro do cal se enviará unha solicitude de proba ao servidor Cloudflare DC para comprobar a calidade da implementación da nova extensión TLS. O soporte para as credenciais delegadas tamén está integrado na biblioteca con implementación de TLS 1.3.
A especificación de credenciais delegadas foi presentada ao comité IETF (Internet Engineering Task Force), que é responsable do desenvolvemento de protocolos e arquitectura de Internet, e está no , que afirma ser un estándar de Internet. A extensión de credenciais delegadas só se pode usar con TLSv1.3.
Para xerar claves intermedias, cómpre obter un certificado TLS que inclúa unha extensión X.509 especial, que actualmente só admite a autoridade de certificación DigiCert.
Fonte: opennet.ru