Новое расширение также может оказаться полезным для сайтов, работа которых обеспечивается крупной распределённой инфраструктурой с большим числом балансировщиков нагрузки. Delegated Credentials позволит избежать хранения копий закрытых ключей основных сертификатов на каждом узле отдачи контента. При классическом подходе успешная атака на любой из серверов, участвующих в отдаче HTTPS-трафика, приведёт к компрометации всего сертификата. В случае передачи закрытых ключей сетям доставки контента возникают угрозы утечки данных в результате диверсий со стороны персонала, действий спецслужб или компрометации инфраструктуры CDN.
Если утечка ключей останется незамеченной, получившие доступ к ключам смогут достаточно длительное время незаметно вклиниваться в трафик сайта (MITM), так как сроки действия сертификатов исчисляются месяцами и годами. В Cloudflare для защиты ключей сертификатов могут
Предложенное TLS-расширение Delegated Credentials вводит в обиход дополнительный промежуточных закрытый ключ, время действия которого ограничено часами или несколькими днями (не больше 7 дней). Данный ключ генерируется на основе выданного удостоверяющим центром сертификата и позволяет сохранить закрытый ключ исходного сертификата в тайне от сервисов доставки контента, предоставив им только временный сертификат с коротким временем жизни.
Для того чтобы избежать проблем с доступом после истечения времени жизни промежуточного ключа предусмотрена технология автоматического обновления, выполняемая на стороне исходного TLS-сервера. Для генерации не требуется выполнение ручных операций или запуска скриптов — авторизированный сервер, которому требуется закрытый ключ, до истечения времени жизни предыдущего ключа обращается к исходному TLS-серверу сайта и он генерирует промежуточный ключ на очередной короткий промежуток времени.
Поддерживающие TLS-расширение Delegated Credentials браузеры будут воспринимать подобные производные сертификаты как заслуживающие доверия. Например, поддержка указанного расширения уже добавлена в ночные сборки и бета-версии Firefox и может быть активирована в about:config через изменение настойки «security.tls.enable_delegated_credentials». В середине ноября среди определённого процента пользователей тестовых версий Firefox также планируется провести эксперимент «
Спецификация Delegated Credentials передана в комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры Интернет, и находится на стадии
Для генерации промежуточных ключей требуется получение TLS-сертификата, включающего специальное расширение X.509, которое пока поддерживается только удостоверяющим центром DigiCert.
Ақпарат көзі: opennet.ru