Novo proširenje također može biti korisno za stranice koje rade na velikoj distribuiranoj infrastrukturi s velikim brojem balansera opterećenja. Delegirane vjerodajnice izbjeći će pohranjivanje kopija privatnih ključeva glavnih certifikata na svakom čvoru za isporuku sadržaja. Kod klasičnog pristupa, uspješan napad na bilo koji od poslužitelja uključenih u slanje HTTPS prometa dovest će do kompromitacije cijelog certifikata. Ako se privatni ključevi prenose na mreže za isporuku sadržaja, postoje prijetnje od curenja podataka kao rezultat sabotaže od strane osoblja, radnji obavještajnih agencija ili ugrožavanja CDN infrastrukture.
Ako curenje ključa ostane neotkriveno, oni koji su dobili pristup ključevima moći će se neprimjetno uglaviti u promet na web-mjestu (MITM) na prilično dugo vrijeme, budući da se razdoblja valjanosti certifikata izračunavaju u mjesecima i godinama. Cloudflare može zaštititi ključeve certifikata putem
Predloženo proširenje TLS-a Delegated Credentials uvodi dodatni posredni privatni ključ, čija je valjanost ograničena na nekoliko sati ili nekoliko dana (ne više od 7 dana). Ovaj se ključ generira na temelju certifikata koji je izdalo tijelo za izdavanje certifikata i omogućuje vam da privatni ključ izvornog certifikata zadržite u tajnosti od službi za isporuku sadržaja, pružajući im samo privremeni certifikat s kratkim vijekom trajanja.
Kako bi se izbjegli problemi s pristupom nakon što je međuključ istekao, omogućena je tehnologija automatskog ažuriranja koja se izvodi na strani izvornog TLS poslužitelja. Generiranje ne zahtijeva ručne operacije niti pokretanje skripti - ovlašteni poslužitelj koji zahtijeva privatni ključ, prije nego što istekne životni vijek prethodnog ključa, kontaktira izvorni TLS poslužitelj stranice i on generira međuključ za sljedeće kratko vrijeme.
Preglednici koji podržavaju proširenje TLS delegiranih vjerodajnica tretirat će takve izvedene certifikate kao pouzdane. Na primjer, podrška za navedeno proširenje već je dodana noćnim verzijama i beta verzijama Firefoxa i može se aktivirati u about:config promjenom postavke “security.tls.enable_delegated_credentials”. Sredinom studenog također se planira provesti eksperiment među određenim postotkom korisnika testnih verzija Firefoxa”
Specifikacija delegiranih vjerodajnica predana je odboru IETF (Internet Engineering Task Force), koji je odgovoran za razvoj internetskih protokola i arhitekture, a nalazi se na
Za generiranje međuključeva potrebno je nabaviti TLS certifikat koji uključuje posebnu X.509 ekstenziju koju trenutno podržava samo certifikacijska kuća DigiCert.
Izvor: opennet.ru