, и zajedno su najavili novo TLS proširenje (DC), rješavanje problema s certifikatima pri organiziranju pristupa web stranici putem mreža za isporuku sadržaja. Certifikati izdani od strane certifikacijskih tijela imaju dugo razdoblje valjanosti, što stvara poteškoće kada je potrebno organizirati pristup stranici putem usluge treće strane, u ime koje je potrebno uspostaviti sigurnu vezu, jer prijenos certifikata stranice na vanjski usluga stvara dodatne sigurnosne prijetnje.
Novo proširenje također može biti korisno za stranice koje rade na velikoj distribuiranoj infrastrukturi s velikim brojem balansera opterećenja. Delegirane vjerodajnice izbjeći će pohranjivanje kopija privatnih ključeva glavnih certifikata na svakom čvoru za isporuku sadržaja. Kod klasičnog pristupa, uspješan napad na bilo koji od poslužitelja uključenih u slanje HTTPS prometa dovest će do kompromitacije cijelog certifikata. Ako se privatni ključevi prenose na mreže za isporuku sadržaja, postoje prijetnje od curenja podataka kao rezultat sabotaže od strane osoblja, radnji obavještajnih agencija ili ugrožavanja CDN infrastrukture.
Ako curenje ključa ostane neotkriveno, oni koji su dobili pristup ključevima moći će se neprimjetno uglaviti u promet na web-mjestu (MITM) na prilično dugo vrijeme, budući da se razdoblja valjanosti certifikata izračunavaju u mjesecima i godinama. Cloudflare može zaštititi ključeve certifikata putem posebni ključni poslužitelji koji rade na strani vlasnika stranice, ali rad u ovom načinu rada dovodi do značajnih kašnjenja u isporuci prometa, smanjuje pouzdanost zbog pojave dodatne veze i zahtijeva implementaciju složene infrastrukture.
Predloženo proširenje TLS-a Delegated Credentials uvodi dodatni posredni privatni ključ, čija je valjanost ograničena na nekoliko sati ili nekoliko dana (ne više od 7 dana). Ovaj se ključ generira na temelju certifikata koji je izdalo tijelo za izdavanje certifikata i omogućuje vam da privatni ključ izvornog certifikata zadržite u tajnosti od službi za isporuku sadržaja, pružajući im samo privremeni certifikat s kratkim vijekom trajanja.
Kako bi se izbjegli problemi s pristupom nakon što je međuključ istekao, omogućena je tehnologija automatskog ažuriranja koja se izvodi na strani izvornog TLS poslužitelja. Generiranje ne zahtijeva ručne operacije niti pokretanje skripti - ovlašteni poslužitelj koji zahtijeva privatni ključ, prije nego što istekne životni vijek prethodnog ključa, kontaktira izvorni TLS poslužitelj stranice i on generira međuključ za sljedeće kratko vrijeme.
Preglednici koji podržavaju proširenje TLS delegiranih vjerodajnica tretirat će takve izvedene certifikate kao pouzdane. Na primjer, podrška za navedeno proširenje već je dodana noćnim verzijama i beta verzijama Firefoxa i može se aktivirati u about:config promjenom postavke “security.tls.enable_delegated_credentials”. Sredinom studenog također se planira provesti eksperiment među određenim postotkom korisnika testnih verzija Firefoxa”“, unutar kojeg će biti poslan testni zahtjev Cloudflare DC poslužitelju za provjeru kvalitete implementacije nove TLS ekstenzije. Podrška za delegirane vjerodajnice također je već ugrađena u biblioteku s implementacijom TLS 1.3.
Specifikacija delegiranih vjerodajnica predana je odboru IETF (Internet Engineering Task Force), koji je odgovoran za razvoj internetskih protokola i arhitekture, a nalazi se na , koji tvrdi da je internetski standard. Proširenje ovlaštenih vjerodajnica može se koristiti samo s TLSv1.3.
Za generiranje međuključeva potrebno je nabaviti TLS certifikat koji uključuje posebnu X.509 ekstenziju koju trenutno podržava samo certifikacijska kuća DigiCert.
Izvor: opennet.ru