, и közösen bejelentették az új TLS kiterjesztést (DC), megoldja a problémát a tanúsítványokkal, amikor egy webhelyhez való hozzáférést tartalomszolgáltató hálózatokon keresztül szervezi meg. A hitelesítésszolgáltatók által kiadott tanúsítványok érvényességi ideje hosszú, ami nehézségeket okoz, ha egy webhelyhez való hozzáférést harmadik fél szolgáltatásán keresztül kell megszervezni, amelynek nevében biztonságos kapcsolatot kell létesíteni, mivel az oldal tanúsítványának átvitele külső helyre szolgáltatás további biztonsági fenyegetéseket hoz létre.
Az új kiterjesztés hasznos lehet olyan oldalakon is, amelyek nagy elosztott infrastruktúrán működnek nagyszámú terheléselosztóval. A delegált hitelesítő adatok elkerülik a fő tanúsítványok privát kulcsainak másolatait az egyes tartalomszolgáltató csomópontokon. A klasszikus megközelítéssel a HTTPS-forgalom küldésében részt vevő bármely szerver elleni sikeres támadás a teljes tanúsítvány veszélyeztetéséhez vezet. Ha a magánkulcsokat tartalomszolgáltató hálózatokba továbbítják, fennáll az adatszivárgás veszélye a személyzet szabotázsa, a hírszerző ügynökségek intézkedései vagy a CDN-infrastruktúra veszélyeztetése miatt.
Ha egy kulcsszivárgást nem észlelnek, azok, akik hozzáfértek a kulcsokhoz, hosszú ideig észrevétlenül ékelkedhetnek be a helyszíni forgalomba (MITM), mivel a tanúsítványok érvényességi idejét hónapokban és években számolják. A Cloudflare meg tudja védeni a tanúsítványkulcsokat azáltal speciális kulcsszerverek, amelyek a webhely tulajdonosának oldalán működnek, de ebben a módban történő munkavégzés jelentős késésekhez vezet a forgalom továbbításában, csökkenti a megbízhatóságot egy további hivatkozás megjelenése miatt, és összetett infrastruktúra kiépítését teszi szükségessé.
A javasolt TLS-bővítés Delegated Credentials egy további köztes privát kulcsot vezet be, amelynek érvényessége órákra vagy több napra (legfeljebb 7 napra) korlátozódik. Ezt a kulcsot egy hitelesítés-szolgáltató által kiadott tanúsítvány alapján állítják elő, és lehetővé teszi, hogy az eredeti tanúsítvány privát kulcsát titokban tartsa a tartalomszolgáltató szolgáltatások elől, és csak egy rövid élettartamú ideiglenes tanúsítványt biztosítson számukra.
A köztes kulcs lejárta utáni hozzáférési problémák elkerülése érdekében automatikus frissítési technológia biztosított, amelyet az eredeti TLS-kiszolgáló oldalán hajtanak végre. Az előállítás nem igényel kézi műveleteket vagy szkriptek futtatását - egy jogosult szerver, amely privát kulcsot igényel, mielőtt az előző kulcs élettartama lejárna, felveszi a kapcsolatot a webhely eredeti TLS-kiszolgálójával, és létrehoz egy köztes kulcsot a következő rövid időre.
A Delegated Credentials TLS bővítményt támogató böngészők az ilyen származtatott tanúsítványokat megbízhatóként kezelik. Például a megadott kiterjesztés támogatása már hozzáadásra került a Firefox éjszakai összeállításaihoz és bétaverzióihoz, és az about:config fájlban a „security.tls.enable_delegated_credentials” beállítás módosításával aktiválható. November közepén egy kísérletet is terveznek a Firefox tesztverzióit használók bizonyos százalékában.“, amelyen belül egy tesztkérést küldünk a Cloudflare DC szervernek az új TLS bővítmény megvalósításának minőségének ellenőrzésére. A delegált hitelesítő adatok támogatása szintén már be van építve a könyvtárba TLS 1.3 implementációval.
A Delegated Credentials specifikációt benyújtották az IETF (Internet Engineering Task Force) bizottsághoz, amely az internetes protokollok és architektúra fejlesztéséért felelős, és a , amely internetes szabványnak vallja magát. A Delegated Credentials bővítmény csak a TLSv1.3-mal használható.
A köztes kulcsok generálásához be kell szereznie egy speciális X.509-es kiterjesztést tartalmazó TLS-tanúsítványt, amelyet jelenleg csak a DigiCert tanúsító hatóság támogat.
Forrás: opennet.ru