Naujasis plėtinys taip pat gali būti naudingas svetainėms, kurios veikia didelėje paskirstytoje infrastruktūroje su daugybe apkrovos balansavimo įrenginių. Deleguoti kredencialai neleis saugoti pagrindinių sertifikatų privačių raktų kopijų kiekviename turinio pristatymo mazge. Taikant klasikinį metodą, sėkminga ataka prieš bet kurį iš serverių, dalyvaujančių siunčiant HTTPS srautą, sukels kompromisą visam sertifikatui. Jei privatūs raktai perduodami į turinio pristatymo tinklus, kyla duomenų nutekėjimo grėsmė dėl darbuotojų sabotažo, žvalgybos agentūrų veiksmų arba CDN infrastruktūros pažeidimo.
Jei rakto nutekėjimas bus nepastebėtas, tie, kurie gavo prieigą prie raktų, gana ilgą laiką galės neaptinkamai įsitraukti į svetainės srautą (MITM), nes sertifikatų galiojimo laikas skaičiuojamas mėnesiais ir metais. „Cloudflare“ gali apsaugoti sertifikato raktus
Siūlomas TLS plėtinys Delegated Credentials įveda papildomą tarpinį privatųjį raktą, kurio galiojimas ribojamas iki valandų arba kelių dienų (ne ilgiau kaip 7 dienos). Šis raktas sugeneruojamas remiantis sertifikavimo institucijos išduotu sertifikatu ir leidžia išlaikyti privatų originalaus sertifikato raktą paslaptyje nuo turinio pristatymo paslaugų, suteikiant joms tik laikiną sertifikatą, kurio galiojimo laikas yra trumpas.
Siekiant išvengti prieigos problemų pasibaigus tarpiniam raktui, numatyta automatinio atnaujinimo technologija, kuri atliekama pirminio TLS serverio pusėje. Generavimui nereikia rankinių operacijų ar paleisti scenarijus – įgaliotas serveris, kuriam reikalingas privatus raktas, prieš pasibaigiant ankstesnio rakto galiojimo laikui, susisiekia su pirminiu svetainės TLS serveriu ir sugeneruoja tarpinį raktą kitam trumpam laikotarpiui.
Naršyklės, palaikančios deleguotų kredencialų TLS plėtinį, tokius išvestinius sertifikatus laikys patikimais. Pavyzdžiui, nurodyto plėtinio palaikymas jau buvo pridėtas prie naktinių „Firefox“ kūrimo ir beta versijų ir gali būti suaktyvintas maždaug:config pakeitus nustatymą „security.tls.enable_delegated_credentials“. Lapkričio viduryje taip pat planuojama atlikti eksperimentą tarp tam tikro procento bandomųjų „Firefox“ versijų vartotojų.
Deleguotų kredencialų specifikacija buvo pateikta IETF (Internet Engineering Task Force) komitetui, kuris yra atsakingas už interneto protokolų ir architektūros kūrimą ir yra
Norėdami generuoti tarpinius raktus, turite gauti TLS sertifikatą, kuriame yra specialus X.509 plėtinys, kurį šiuo metu palaiko tik DigiCert sertifikavimo institucija.
Šaltinis: opennet.ru