, и tilkynnti í sameiningu um nýja TLS framlengingu (DC), leysa vandamálið með skírteini þegar þú skipuleggur aðgang að síðu í gegnum efnisflutningsnet. Vottorð sem gefin eru út af vottunaryfirvöldum hafa langan gildistíma, sem skapar erfiðleika þegar nauðsynlegt er að skipuleggja aðgang að síðu í gegnum þjónustu þriðja aðila, sem þarf að koma á öruggri tengingu fyrir, þar sem vottorð síðunnar er flutt til utanaðkomandi aðila. þjónusta skapar viðbótaröryggisógnir.
Nýja viðbyggingin gæti einnig verið gagnleg fyrir síður sem starfa á stórum dreifðum innviðum með miklum fjölda álagsjafnara. Framseld skilríki munu forðast að geyma afrit af einkalyklum aðalskírteina á hverjum efnisafhendingarhnút. Með klassískri nálgun mun árangursrík árás á einhvern af netþjónunum sem taka þátt í að senda HTTPS umferð leiða til málamiðlunar á öllu vottorðinu. Ef einkalyklar eru fluttir yfir á efnisafhendingarnet, er hótun um gagnaleka vegna skemmdarverka starfsmanna, aðgerða leyniþjónustustofnana eða málamiðlunar á CDN innviðum.
Ef lykilleki verður óuppgötvaður munu þeir sem hafa fengið aðgang að lyklunum geta fleygt sig ógreinanlega inn í síðuumferð (MITM) í nokkuð langan tíma þar sem gildistími skírteina er reiknaður í mánuðum og árum. Cloudflare getur verndað vottorðslykla með því að sérstakir lykilþjónar sem starfa á hlið eiganda vefsvæðisins, en vinna í þessum ham leiðir til verulegra tafa á afhendingu umferðar, dregur úr áreiðanleika vegna útlits viðbótartengingar og krefst uppsetningar á flóknum innviðum.
Fyrirhuguð TLS framlenging Delegated Credentials kynnir viðbótar millistig einkalykill, gildistími hans er takmarkaður við klukkustundir eða nokkra daga (ekki meira en 7 dagar). Þessi lykill er búinn til á grundvelli vottorðs sem vottunaryfirvald gefur út og gerir þér kleift að halda einkalyklinum upprunalega vottorðsins leyndum fyrir efnisafhendingarþjónustu, sem gefur þeim aðeins tímabundið vottorð með stuttan líftíma.
Til að koma í veg fyrir aðgangsvandamál eftir að millilykillinn er útrunninn er sjálfvirk uppfærslutækni sem er framkvæmd á hlið upprunalega TLS netþjónsins. Generation krefst ekki handvirkra aðgerða eða keyrandi forskrifta - viðurkenndur þjónn sem krefst einkalykils, áður en líftími fyrri lykils rennur út, hefur samband við upprunalega TLS netþjón síðunnar og hann býr til millilykil fyrir næsta stutta tíma.
Vafrar sem styðja Delegated Credentials TLS viðbótina munu meðhöndla slík afleidd vottorð sem áreiðanleg. Til dæmis hefur stuðningi við tilgreinda viðbót þegar verið bætt við nætursmíði og beta útgáfur af Firefox og hægt er að virkja hann í about:config með því að breyta "security.tls.enable_delegated_credentials" stillingunni. Um miðjan nóvember er einnig fyrirhugað að gera tilraun meðal ákveðins hlutfalls notenda prófunarútgáfu af Firefox ““, þar sem prófunarbeiðni verður send til Cloudflare DC netþjónsins til að athuga gæði innleiðingar á nýju TLS viðbótinni. Stuðningur við úthlutað skilríki er einnig þegar innbyggður í bókasafnið með TLS 1.3 útfærslu.
Úthlutað skilríki hefur verið skilað til IETF (Internet Engineering Task Force) nefndarinnar, sem ber ábyrgð á þróun netsamskiptareglna og arkitektúrs, og er á , sem segist vera internetstaðall. Aðeins er hægt að nota úthlutað skilríki eftirnafn með TLSv1.3.
Til að búa til millilykla þarftu að fá TLS vottorð sem inniheldur sérstaka X.509 viðbót, sem nú er aðeins studd af DigiCert vottunaryfirvöldum.
Heimild: opennet.ru