Mozilla, Cloudflare 및 Facebook은 단기 인증서 위임을 위한 TLS 확장을 도입했습니다.

모질라, Cloudflare и 페이스북 새로운 TLS 확장을 공동으로 발표했습니다. 위임 된 자격 증명 (DC), 콘텐츠 전달 네트워크를 통해 사이트에 대한 액세스를 구성할 때 인증서 문제를 해결합니다. 인증 기관에서 발급한 인증서는 유효 기간이 길어서 사이트 인증서를 외부로 전송하기 때문에 보안 연결을 설정해야 하는 제XNUMX자 서비스를 통해 사이트에 대한 액세스를 구성해야 하는 경우 어려움이 발생합니다. 서비스는 추가적인 보안 위협을 야기합니다.

새로운 확장은 많은 수의 로드 밸런서가 있는 대규모 분산 인프라에서 작동하는 사이트에도 유용할 수 있습니다. 위임된 자격 증명은 각 콘텐츠 전달 노드에 기본 인증서의 개인 키 복사본을 저장하지 않습니다. 일반적인 접근 방식을 사용하면 HTTPS 트래픽 전송과 관련된 서버에 대한 공격이 성공하면 전체 인증서가 손상됩니다. 개인 키가 콘텐츠 전송 네트워크로 전송되면 직원의 방해 행위, 정보 기관의 조치 또는 CDN 인프라 손상으로 인해 데이터 유출 위협이 있습니다.

키 유출이 감지되지 않으면 키에 대한 액세스 권한을 얻은 사용자는 인증서의 유효 기간이 월 및 연 단위로 계산되기 때문에 꽤 오랜 시간 동안 사이트 트래픽(MITM)에 감지할 수 없을 정도로 끼어들 수 있습니다. Cloudflare는 다음을 통해 인증서 키를 보호할 수 있습니다. 대다 사이트 소유자 측에서 작동하는 특수 키 서버이지만 이 모드에서 작업하면 트래픽 전달이 크게 지연되고 추가 링크로 인해 안정성이 떨어지며 복잡한 인프라 배포가 필요합니다.

제안된 TLS 확장 위임 자격 증명에는 추가 중간 개인 키가 도입되었으며, 그 유효 기간은 몇 시간 또는 며칠(7일 이하)로 제한됩니다. 이 키는 인증 기관에서 발급한 인증서를 기반으로 생성되며, 콘텐츠 전송 서비스에서 원본 인증서의 개인 키를 비밀로 유지하여 수명이 짧은 임시 인증서만 제공할 수 있습니다.

중간 키가 만료된 후 액세스 문제를 방지하기 위해 원래 TLS 서버 측에서 수행되는 자동 업데이트 기술이 제공됩니다. 생성에는 수동 작업이나 스크립트 실행이 필요하지 않습니다. 개인 키가 필요한 인증된 서버는 이전 키의 수명이 만료되기 전에 사이트의 원래 TLS 서버에 접속하여 다음 짧은 기간 동안 중간 키를 생성합니다.

위임된 자격 증명 TLS 확장을 지원하는 브라우저는 이러한 파생 인증서를 신뢰할 수 있는 것으로 취급합니다. 예를 들어, 특정 확장에 대한 지원은 Firefox의 Nightly 빌드 및 베타 버전에 이미 추가되었으며 about:config에서 "security.tls.enable_delegated_credentials" 설정을 변경하여 활성화할 수 있습니다. XNUMX월 중순에는 특정 비율의 Firefox 테스트 버전 사용자를 대상으로 실험도 진행될 예정입니다.TLS 위임 자격 증명 실험'라는 테스트 요청이 Cloudflare DC 서버로 전송되어 새로운 TLS 확장의 구현 품질을 확인하게 됩니다. 위임된 자격 증명에 대한 지원도 이미 라이브러리에 내장되어 있습니다. 활기 TLS 1.3 구현.

위임된 자격 증명 사양은 인터넷 프로토콜 및 아키텍처 개발을 담당하는 IETF(Internet Engineering Task Force) 위원회에 제출되었으며, 초안, 이는 인터넷 표준이라고 주장합니다. 위임된 자격 증명 확장은 TLSv1.3에서만 사용할 수 있습니다.
중간 키를 생성하려면 현재 DigiCert 인증 기관에서만 지원하는 특수 X.509 확장이 포함된 TLS 인증서를 얻어야 합니다.

출처 : opennet.ru