Az új kiterjesztés hasznos lehet olyan oldalakon is, amelyek nagy elosztott infrastruktúrán működnek nagyszámú terheléselosztóval. A delegált hitelesítő adatok elkerülik a fő tanúsítványok privát kulcsainak másolatait az egyes tartalomszolgáltató csomópontokon. A klasszikus megközelítéssel a HTTPS-forgalom küldésében részt vevő bármely szerver elleni sikeres támadás a teljes tanúsítvány veszélyeztetéséhez vezet. Ha a magánkulcsokat tartalomszolgáltató hálózatokba továbbítják, fennáll az adatszivárgás veszélye a személyzet szabotázsa, a hírszerző ügynökségek intézkedései vagy a CDN-infrastruktúra veszélyeztetése miatt.
Ha egy kulcsszivárgást nem észlelnek, azok, akik hozzáfértek a kulcsokhoz, hosszú ideig észrevétlenül ékelkedhetnek be a helyszíni forgalomba (MITM), mivel a tanúsítványok érvényességi idejét hónapokban és években számolják. A Cloudflare meg tudja védeni a tanúsítványkulcsokat azáltal
A javasolt TLS-bővítés Delegated Credentials egy további köztes privát kulcsot vezet be, amelynek érvényessége órákra vagy több napra (legfeljebb 7 napra) korlátozódik. Ezt a kulcsot egy hitelesítés-szolgáltató által kiadott tanúsítvány alapján állítják elő, és lehetővé teszi, hogy az eredeti tanúsítvány privát kulcsát titokban tartsa a tartalomszolgáltató szolgáltatások elől, és csak egy rövid élettartamú ideiglenes tanúsítványt biztosítson számukra.
A köztes kulcs lejárta utáni hozzáférési problémák elkerülése érdekében automatikus frissítési technológia biztosított, amelyet az eredeti TLS-kiszolgáló oldalán hajtanak végre. Az előállítás nem igényel kézi műveleteket vagy szkriptek futtatását - egy jogosult szerver, amely privát kulcsot igényel, mielőtt az előző kulcs élettartama lejárna, felveszi a kapcsolatot a webhely eredeti TLS-kiszolgálójával, és létrehoz egy köztes kulcsot a következő rövid időre.
A Delegated Credentials TLS bővítményt támogató böngészők az ilyen származtatott tanúsítványokat megbízhatóként kezelik. Például a megadott kiterjesztés támogatása már hozzáadásra került a Firefox éjszakai összeállításaihoz és bétaverzióihoz, és az about:config fájlban a „security.tls.enable_delegated_credentials” beállítás módosításával aktiválható. November közepén egy kísérletet is terveznek a Firefox tesztverzióit használók bizonyos százalékában.
A Delegated Credentials specifikációt benyújtották az IETF (Internet Engineering Task Force) bizottsághoz, amely az internetes protokollok és architektúra fejlesztéséért felelős, és a
A köztes kulcsok generálásához be kell szereznie egy speciális X.509-es kiterjesztést tartalmazó TLS-tanúsítványt, amelyet jelenleg csak a DigiCert tanúsító hatóság támogat.
Forrás: opennet.ru