, и hanno annunciato congiuntamente una nuova estensione TLS (DC), risolvendo il problema con i certificati quando si organizza l'accesso a un sito tramite reti di distribuzione dei contenuti. I certificati emessi dagli enti di certificazione hanno un lungo periodo di validità, il che crea difficoltà quando è necessario organizzare l'accesso a un sito tramite un servizio di terze parti, per conto del quale deve essere stabilita una connessione sicura, poiché trasferendo il certificato del sito a un servizio esterno il servizio crea ulteriori minacce alla sicurezza.
La nuova estensione potrebbe essere utile anche per i siti che operano su una grande infrastruttura distribuita con un gran numero di bilanciatori di carico. Le credenziali delegate eviteranno di archiviare copie delle chiavi private dei principali certificati su ciascun nodo di distribuzione dei contenuti. Con l’approccio classico, un attacco riuscito a uno qualsiasi dei server coinvolti nell’invio del traffico HTTPS porterà alla compromissione dell’intero certificato. Se le chiavi private vengono trasferite alle reti di distribuzione dei contenuti, esiste il rischio di fuga di dati a causa di sabotaggi da parte del personale, azioni di agenzie di intelligence o compromissione dell'infrastruttura CDN.
Se una fuga di chiavi non viene rilevata, coloro che hanno avuto accesso alle chiavi potranno incastrarsi in modo non rilevabile nel traffico del sito (MITM) per un periodo piuttosto lungo, poiché la durata di validità dei certificati viene calcolata in mesi e anni. Cloudflare può proteggere le chiavi del certificato tramite server chiave speciali che operano dal lato del proprietario del sito, ma lavorare in questa modalità porta a ritardi significativi nella consegna del traffico, riduce l'affidabilità a causa della comparsa di un collegamento aggiuntivo e richiede l'implementazione di un'infrastruttura complessa.
La proposta di estensione TLS Deleged Credentials introduce un'ulteriore chiave privata intermedia, la cui validità è limitata a ore o più giorni (non più di 7 giorni). Questa chiave viene generata in base a un certificato emesso da un'autorità di certificazione e consente di mantenere segreta la chiave privata del certificato originale ai servizi di distribuzione dei contenuti, fornendo loro solo un certificato temporaneo con una durata breve.
Per evitare problemi di accesso dopo la scadenza della chiave intermedia, è prevista una tecnologia di aggiornamento automatico che viene eseguita dal lato del server TLS originale. La generazione non richiede operazioni manuali o esecuzione di script: un server autorizzato che richiede una chiave privata, prima che scada la durata della chiave precedente, contatta il server TLS originale del sito e genera una chiave intermedia per il breve periodo di tempo successivo.
I browser che supportano l'estensione TLS delle credenziali delegate tratteranno tali certificati derivati come affidabili. Ad esempio, il supporto per l'estensione specificata è già stato aggiunto alle build notturne e alle versioni beta di Firefox e può essere attivato in about:config modificando l'impostazione "security.tls.enable_delegation_credentials". A metà novembre è previsto anche un esperimento tra una certa percentuale di utenti delle versioni di prova di Firefox ““, all’interno della quale verrà inviata una richiesta di test al server DC di Cloudflare per verificare la qualità dell’implementazione della nuova estensione TLS. Anche il supporto per le credenziali delegate è già integrato nella libreria con implementazione TLS 1.3.
La specifica delle credenziali delegate è stata sottoposta al comitato IETF (Internet Engineering Task Force), responsabile dello sviluppo dei protocolli e dell'architettura Internet, ed è al , che pretende di essere uno standard Internet. L'estensione Credenziali delegate può essere utilizzata solo con TLSv1.3.
Per generare chiavi intermedie è necessario ottenere un certificato TLS che includa una speciale estensione X.509, attualmente supportata solo dall'autorità di certificazione DigiCert.
Fonte: opennet.ru