, и kartu paskelbė apie naują TLS plėtinį (DC), sprendžiant sertifikatų problemą organizuojant prieigą prie svetainės per turinio pristatymo tinklus. Sertifikavimo institucijų išduoti sertifikatai turi ilgą galiojimo laiką, todėl kyla sunkumų, kai reikia organizuoti prieigą prie svetainės per trečiosios šalies paslaugą, kurios vardu turi būti užmegztas saugus ryšys, nes svetainės sertifikatas perkeliamas į išorinę paslauga sukuria papildomų saugumo grėsmių.
Naujasis plėtinys taip pat gali būti naudingas svetainėms, kurios veikia didelėje paskirstytoje infrastruktūroje su daugybe apkrovos balansavimo įrenginių. Deleguoti kredencialai neleis saugoti pagrindinių sertifikatų privačių raktų kopijų kiekviename turinio pristatymo mazge. Taikant klasikinį metodą, sėkminga ataka prieš bet kurį iš serverių, dalyvaujančių siunčiant HTTPS srautą, sukels kompromisą visam sertifikatui. Jei privatūs raktai perduodami į turinio pristatymo tinklus, kyla duomenų nutekėjimo grėsmė dėl darbuotojų sabotažo, žvalgybos agentūrų veiksmų arba CDN infrastruktūros pažeidimo.
Jei rakto nutekėjimas bus nepastebėtas, tie, kurie gavo prieigą prie raktų, gana ilgą laiką galės neaptinkamai įsitraukti į svetainės srautą (MITM), nes sertifikatų galiojimo laikas skaičiuojamas mėnesiais ir metais. „Cloudflare“ gali apsaugoti sertifikato raktus specialūs raktiniai serveriai, veikiantys svetainės savininko pusėje, tačiau dirbant šiuo režimu labai vėluoja srautas, sumažėja patikimumas dėl papildomos nuorodos atsiradimo ir reikia diegti sudėtingą infrastruktūrą.
Siūlomas TLS plėtinys Delegated Credentials įveda papildomą tarpinį privatųjį raktą, kurio galiojimas ribojamas iki valandų arba kelių dienų (ne ilgiau kaip 7 dienos). Šis raktas sugeneruojamas remiantis sertifikavimo institucijos išduotu sertifikatu ir leidžia išlaikyti privatų originalaus sertifikato raktą paslaptyje nuo turinio pristatymo paslaugų, suteikiant joms tik laikiną sertifikatą, kurio galiojimo laikas yra trumpas.
Siekiant išvengti prieigos problemų pasibaigus tarpiniam raktui, numatyta automatinio atnaujinimo technologija, kuri atliekama pirminio TLS serverio pusėje. Generavimui nereikia rankinių operacijų ar paleisti scenarijus – įgaliotas serveris, kuriam reikalingas privatus raktas, prieš pasibaigiant ankstesnio rakto galiojimo laikui, susisiekia su pirminiu svetainės TLS serveriu ir sugeneruoja tarpinį raktą kitam trumpam laikotarpiui.
Naršyklės, palaikančios deleguotų kredencialų TLS plėtinį, tokius išvestinius sertifikatus laikys patikimais. Pavyzdžiui, nurodyto plėtinio palaikymas jau buvo pridėtas prie naktinių „Firefox“ kūrimo ir beta versijų ir gali būti suaktyvintas maždaug:config pakeitus nustatymą „security.tls.enable_delegated_credentials“. Lapkričio viduryje taip pat planuojama atlikti eksperimentą tarp tam tikro procento bandomųjų „Firefox“ versijų vartotojų.“, kurio metu į „Cloudflare DC“ serverį bus išsiųsta bandymo užklausa, siekiant patikrinti naujojo TLS plėtinio diegimo kokybę. Deleguotų kredencialų palaikymas taip pat jau integruotas į biblioteką su TLS 1.3 diegimu.
Deleguotų kredencialų specifikacija buvo pateikta IETF (Internet Engineering Task Force) komitetui, kuris yra atsakingas už interneto protokolų ir architektūros kūrimą ir yra , kuris teigia esąs interneto standartas. Deleguotų kredencialų plėtinį galima naudoti tik su TLSv1.3.
Norėdami generuoti tarpinius raktus, turite gauti TLS sertifikatą, kuriame yra specialus X.509 plėtinys, kurį šiuo metu palaiko tik DigiCert sertifikavimo institucija.
Šaltinis: opennet.ru