Nýja viðbyggingin gæti einnig verið gagnleg fyrir síður sem starfa á stórum dreifðum innviðum með miklum fjölda álagsjafnara. Framseld skilríki munu forðast að geyma afrit af einkalyklum aðalskírteina á hverjum efnisafhendingarhnút. Með klassískri nálgun mun árangursrík árás á einhvern af netþjónunum sem taka þátt í að senda HTTPS umferð leiða til málamiðlunar á öllu vottorðinu. Ef einkalyklar eru fluttir yfir á efnisafhendingarnet, er hótun um gagnaleka vegna skemmdarverka starfsmanna, aðgerða leyniþjónustustofnana eða málamiðlunar á CDN innviðum.
Ef lykilleki verður óuppgötvaður munu þeir sem hafa fengið aðgang að lyklunum geta fleygt sig ógreinanlega inn í síðuumferð (MITM) í nokkuð langan tíma þar sem gildistími skírteina er reiknaður í mánuðum og árum. Cloudflare getur verndað vottorðslykla með því að
Fyrirhuguð TLS framlenging Delegated Credentials kynnir viðbótar millistig einkalykill, gildistími hans er takmarkaður við klukkustundir eða nokkra daga (ekki meira en 7 dagar). Þessi lykill er búinn til á grundvelli vottorðs sem vottunaryfirvald gefur út og gerir þér kleift að halda einkalyklinum upprunalega vottorðsins leyndum fyrir efnisafhendingarþjónustu, sem gefur þeim aðeins tímabundið vottorð með stuttan líftíma.
Til að koma í veg fyrir aðgangsvandamál eftir að millilykillinn er útrunninn er sjálfvirk uppfærslutækni sem er framkvæmd á hlið upprunalega TLS netþjónsins. Generation krefst ekki handvirkra aðgerða eða keyrandi forskrifta - viðurkenndur þjónn sem krefst einkalykils, áður en líftími fyrri lykils rennur út, hefur samband við upprunalega TLS netþjón síðunnar og hann býr til millilykil fyrir næsta stutta tíma.
Vafrar sem styðja Delegated Credentials TLS viðbótina munu meðhöndla slík afleidd vottorð sem áreiðanleg. Til dæmis hefur stuðningi við tilgreinda viðbót þegar verið bætt við nætursmíði og beta útgáfur af Firefox og hægt er að virkja hann í about:config með því að breyta "security.tls.enable_delegated_credentials" stillingunni. Um miðjan nóvember er einnig fyrirhugað að gera tilraun meðal ákveðins hlutfalls notenda prófunarútgáfu af Firefox “
Úthlutað skilríki hefur verið skilað til IETF (Internet Engineering Task Force) nefndarinnar, sem ber ábyrgð á þróun netsamskiptareglna og arkitektúrs, og er á
Til að búa til millilykla þarftu að fá TLS vottorð sem inniheldur sérstaka X.509 viðbót, sem nú er aðeins studd af DigiCert vottunaryfirvöldum.
Heimild: opennet.ru