La nuova estensione potrebbe essere utile anche per i siti che operano su una grande infrastruttura distribuita con un gran numero di bilanciatori di carico. Le credenziali delegate eviteranno di archiviare copie delle chiavi private dei principali certificati su ciascun nodo di distribuzione dei contenuti. Con l’approccio classico, un attacco riuscito a uno qualsiasi dei server coinvolti nell’invio del traffico HTTPS porterà alla compromissione dell’intero certificato. Se le chiavi private vengono trasferite alle reti di distribuzione dei contenuti, esiste il rischio di fuga di dati a causa di sabotaggi da parte del personale, azioni di agenzie di intelligence o compromissione dell'infrastruttura CDN.
Se una fuga di chiavi non viene rilevata, coloro che hanno avuto accesso alle chiavi potranno incastrarsi in modo non rilevabile nel traffico del sito (MITM) per un periodo piuttosto lungo, poiché la durata di validità dei certificati viene calcolata in mesi e anni. Cloudflare può proteggere le chiavi del certificato tramite
La proposta di estensione TLS Deleged Credentials introduce un'ulteriore chiave privata intermedia, la cui validità è limitata a ore o più giorni (non più di 7 giorni). Questa chiave viene generata in base a un certificato emesso da un'autorità di certificazione e consente di mantenere segreta la chiave privata del certificato originale ai servizi di distribuzione dei contenuti, fornendo loro solo un certificato temporaneo con una durata breve.
Per evitare problemi di accesso dopo la scadenza della chiave intermedia, è prevista una tecnologia di aggiornamento automatico che viene eseguita dal lato del server TLS originale. La generazione non richiede operazioni manuali o esecuzione di script: un server autorizzato che richiede una chiave privata, prima che scada la durata della chiave precedente, contatta il server TLS originale del sito e genera una chiave intermedia per il breve periodo di tempo successivo.
I browser che supportano l'estensione TLS delle credenziali delegate tratteranno tali certificati derivati come affidabili. Ad esempio, il supporto per l'estensione specificata è già stato aggiunto alle build notturne e alle versioni beta di Firefox e può essere attivato in about:config modificando l'impostazione "security.tls.enable_delegation_credentials". A metà novembre è previsto anche un esperimento tra una certa percentuale di utenti delle versioni di prova di Firefox “
La specifica delle credenziali delegate è stata sottoposta al comitato IETF (Internet Engineering Task Force), responsabile dello sviluppo dei protocolli e dell'architettura Internet, ed è al
Per generare chiavi intermedie è necessario ottenere un certificato TLS che includa una speciale estensione X.509, attualmente supportata solo dall'autorità di certificazione DigiCert.
Fonte: opennet.ru