, Šø kopÄ«gi paziÅoja par jaunu TLS paplaÅ”inÄjumu (DC), kas atrisina problÄmu ar sertifikÄtiem, piekļūstot tÄ«mekļa vietnei, izmantojot satura piegÄdes tÄ«klus. SertifikÄcijas iestÄžu izsniegtajiem sertifikÄtiem ir ilgs derÄ«guma termiÅÅ”, kas rada grÅ«tÄ«bas, piekļūstot tÄ«mekļa vietnei, izmantojot treÅ”Äs puses pakalpojumu, kam jÄizveido droÅ”s savienojums, jo tÄ«mekļa vietnes sertifikÄta pÄrsÅ«tÄ«Å”ana ÄrÄjam pakalpojumam rada papildu droŔības draudus.
Jaunais paplaÅ”inÄjums varÄtu bÅ«t noderÄ«gs arÄ« tÄ«mekļa vietnÄm, kuras atbalsta liela izkliedÄta infrastruktÅ«ra ar vairÄkiem slodzes lÄ«dzsvarotÄjiem. DeleÄ£Ätie akreditÄcijas dati novÄrÅ” nepiecieÅ”amÄ«bu glabÄt primÄro sertifikÄtu privÄto atslÄgu kopijas katrÄ satura apkalpoÅ”anas mezglÄ. Izmantojot tradicionÄlo pieeju, veiksmÄ«gs uzbrukums jebkuram serverim, kas apkalpo HTTPS datplÅ«smu, apdraudÄtu visu sertifikÄtu. PrivÄto atslÄgu koplietoÅ”ana ar satura piegÄdes tÄ«kliem rada datu noplÅ«des risku darbinieku, izlÅ«kdienestu sabotÄžas vai CDN infrastruktÅ«ras kompromitÄÅ”anas dÄļ.
Ja atslÄgas noplÅ«de netiek atklÄta, ikviens, kurÅ” iegÅ«st piekļuvi atslÄgÄm, var nemanÄmi traucÄt vietnes datplÅ«smu uz ievÄrojamu laika periodu (MITM), jo sertifikÄtu derÄ«guma termiÅÅ” beidzas mÄneÅ”os vai gados. Cloudflare var aizsargÄt sertifikÄtu atslÄgas. Vietnes Ä«paÅ”nieka pusÄ darbojas Ä«paÅ”i atslÄgu serveri, taÄu darbÄ«ba Å”ajÄ režīmÄ rada ievÄrojamas kavÄÅ”anÄs datplÅ«smas piegÄdÄ, samazina uzticamÄ«bu papildu saites pievienoÅ”anas dÄļ un prasa sarežģītas infrastruktÅ«ras izvietoÅ”anu.
IerosinÄtais deleÄ£Äto akreditÄcijas datu TLS paplaÅ”inÄjums ievieÅ” papildu starpposma privÄto atslÄgu, kuras derÄ«guma termiÅÅ” ir ierobežots lÄ«dz dažÄm dienÄm (lÄ«dz 7 dienÄm). Å Ä« atslÄga tiek Ä£enerÄta, pamatojoties uz sertifikÄta izdoto sertifikÄtu, un ļauj oriÄ£inÄlÄ sertifikÄta privÄto atslÄgu turÄt slepenÄ«bÄ no satura piegÄdes pakalpojumiem, nodroÅ”inot tiem tikai pagaidu sertifikÄtu ar Ä«su darbÄ«bas laiku.
Lai izvairÄ«tos no piekļuves problÄmÄm pÄc pagaidu atslÄgas termiÅa beigÄm, sÄkotnÄjÄ TLS serverÄ« ir ieviesta automÄtiskÄs atjaunoÅ”anas tehnoloÄ£ija. Ä¢enerÄÅ”anai nav nepiecieÅ”amas manuÄlas darbÄ«bas vai skripti ā autorizÄts serveris, kam nepiecieÅ”ama privÄtÄ atslÄga, sazinÄs ar vietnes sÄkotnÄjo TLS serveri pirms iepriekÅ”ÄjÄs atslÄgas termiÅa beigÄm un Ä£enerÄ starpposma atslÄgu vÄl uz Ä«su laiku.
PÄrlÅ«kprogrammas, kas atbalsta deleÄ£Äto akreditÄcijas datu TLS paplaÅ”inÄjumu, Å”Ädus atvasinÄtos sertifikÄtus uzskatÄ«s par uzticamiem. PiemÄram, Ŕī paplaÅ”inÄjuma atbalsts jau ir pievienots Firefox nakts versijÄm un beta versijÄm, un to var iespÄjot sadaÄ¼Ä about:config, mainot iestatÄ«jumu "security.tls.enable_delegated_credentials". Novembra vidÅ« ir plÄnots arÄ« eksperiments ar noteiktu Firefox testa lietotÄju procentuÄlo daļu.", kas nosÅ«tÄ«s testa pieprasÄ«jumu uz Cloudflare DC serveri, lai pÄrbaudÄ«tu jaunÄ TLS paplaÅ”inÄjuma ievieÅ”anas kvalitÄti. BibliotÄkÄ jau ir iebÅ«vÄts arÄ« atbalsts deleÄ£Ätajiem akreditÄcijas datiem. ar TLS 1.3 ievieÅ”anu.
DeleÄ£Äto akreditÄcijas datu specifikÄcija ir iesniegta Interneta inženierijas darba grupai (IETF), komitejai, kas izstrÄdÄ interneta protokolus un arhitektÅ«ru, un atrodas izstrÄdes stadijÄ. , kas apgalvo, ka ir interneta standarts. DeleÄ£Äto akreditÄcijas datu paplaÅ”inÄjumu var izmantot tikai ar TLSv1.3.
StarpatslÄgu Ä£enerÄÅ”anai ir nepiecieÅ”ams iegÅ«t TLS sertifikÄtu, kas ietver Ä«paÅ”u X.509 paplaÅ”inÄjumu, ko paÅ”laik atbalsta tikai DigiCert sertifikÄcijas iestÄde.
Avots: opennet.ru
