, ΠΈ bersama-sama mengumumkan ekstensi TLS baru (DC), memecahkan masalah dengan sertifikat saat mengatur akses ke situs melalui jaringan pengiriman konten. Sertifikat yang dikeluarkan oleh otoritas sertifikasi memiliki masa berlaku yang lama, sehingga menimbulkan kesulitan ketika perlu mengatur akses ke situs melalui layanan pihak ketiga, yang atas nama koneksi aman harus dibuat, sejak mentransfer sertifikat situs ke pihak eksternal. layanan menciptakan ancaman keamanan tambahan.
Ekstensi baru ini mungkin juga berguna untuk situs yang beroperasi pada infrastruktur terdistribusi besar dengan sejumlah besar penyeimbang beban. Kredensial yang Didelegasikan akan menghindari penyimpanan salinan kunci pribadi sertifikat utama pada setiap node pengiriman konten. Dengan pendekatan klasik, serangan yang berhasil pada salah satu server yang terlibat dalam pengiriman lalu lintas HTTPS akan menyebabkan kompromi seluruh sertifikat. Jika kunci pribadi ditransfer ke jaringan pengiriman konten, terdapat ancaman kebocoran data akibat sabotase oleh personel, tindakan badan intelijen, atau gangguan pada infrastruktur CDN.
Jika kebocoran kunci tidak terdeteksi, mereka yang telah memperoleh akses terhadap kunci tersebut akan dapat masuk ke dalam lalu lintas situs (MITM) tanpa terdeteksi untuk waktu yang cukup lama, karena masa berlaku sertifikat dihitung dalam hitungan bulan dan tahun. Cloudflare dapat melindungi kunci sertifikat dengan server kunci khusus yang beroperasi di pihak pemilik situs, tetapi bekerja dalam mode ini menyebabkan penundaan yang signifikan dalam pengiriman lalu lintas, mengurangi keandalan karena munculnya tautan tambahan dan memerlukan penerapan infrastruktur yang kompleks.
Kredensial Terdelegasi ekstensi TLS yang diusulkan memperkenalkan kunci pribadi perantara tambahan, yang validitasnya dibatasi hingga beberapa jam atau beberapa hari (tidak lebih dari 7 hari). Kunci ini dibuat berdasarkan sertifikat yang dikeluarkan oleh otoritas sertifikasi dan memungkinkan Anda menjaga rahasia kunci pribadi sertifikat asli dari layanan pengiriman konten, sehingga hanya memberikan mereka sertifikat sementara dengan masa pakai yang singkat.
Untuk menghindari masalah akses setelah kunci perantara kedaluwarsa, disediakan teknologi pembaruan otomatis yang dilakukan di sisi server TLS asli. Pembuatan tidak memerlukan operasi manual atau menjalankan skrip - server resmi yang memerlukan kunci pribadi, sebelum masa pakai kunci sebelumnya berakhir, menghubungi server TLS asli situs dan menghasilkan kunci perantara untuk jangka waktu singkat berikutnya.
Browser yang mendukung ekstensi TLS Kredensial yang Didelegasikan akan memperlakukan sertifikat turunan tersebut sebagai sertifikat yang dapat dipercaya. Misalnya, dukungan untuk ekstensi tertentu telah ditambahkan ke versi nightly dan versi beta Firefox dan dapat diaktifkan di about:config dengan mengubah pengaturan βsecurity.tls.enable_delegated_credentialsβ. Pada pertengahan November, percobaan juga direncanakan akan dilakukan pada persentase tertentu pengguna versi uji Firefox ββ, di mana permintaan pengujian akan dikirim ke server Cloudflare DC untuk memeriksa kualitas implementasi ekstensi TLS baru. Dukungan untuk Kredensial yang Didelegasikan juga sudah ada di perpustakaan dengan implementasi TLS 1.3.
Spesifikasi Kredensial yang Didelegasikan telah diserahkan kepada komite IETF (Internet Engineering Task Force), yang bertanggung jawab atas pengembangan protokol dan arsitektur Internet, dan berada di bawah , yang mengklaim sebagai standar Internet. Ekstensi Kredensial yang Didelegasikan hanya dapat digunakan dengan TLSv1.3.
Untuk menghasilkan kunci perantara, Anda perlu mendapatkan sertifikat TLS yang menyertakan ekstensi khusus X.509, yang saat ini hanya didukung oleh otoritas sertifikasi DigiCert.
Sumber: opennet.ru