, и kopīgi paziņoja par jaunu TLS paplašinājumu (DC), risinot problēmu ar sertifikātiem, organizējot piekļuvi vietnei, izmantojot satura piegādes tīklus. Sertifikācijas iestāžu izsniegtajiem sertifikātiem ir ilgs derīguma termiņš, kas rada grūtības, ja ir nepieciešams organizēt piekļuvi vietnei, izmantojot trešās puses pakalpojumu, kura vārdā ir jāizveido drošs savienojums, jo vietnes sertifikāta pārsūtīšana uz ārēju pakalpojums rada papildu drošības apdraudējumus.
Jaunais paplašinājums var būt noderīgs arī vietnēm, kas darbojas lielā izkliedētā infrastruktūrā ar lielu skaitu slodzes balansētāju. Deleģētie akreditācijas dati ļaus izvairīties no galveno sertifikātu privāto atslēgu kopiju glabāšanas katrā satura piegādes mezglā. Izmantojot klasisko pieeju, veiksmīgs uzbrukums jebkuram no HTTPS trafika nosūtīšanā iesaistītajiem serveriem novedīs pie visa sertifikāta kompromitēšanas. Ja privātās atslēgas tiek pārsūtītas uz satura piegādes tīkliem, pastāv datu noplūdes draudi personāla sabotāžas, izlūkošanas aģentūru darbības vai CDN infrastruktūras kompromitēšanas rezultātā.
Ja atslēgas noplūde netiks atklāta, tie, kuri ir ieguvuši piekļuvi atslēgām, diezgan ilgu laiku varēs nenosakāmi ieķīlēties vietnes trafikā (MITM), jo sertifikātu derīguma termiņi tiek aprēķināti mēnešos un gados. Cloudflare var aizsargāt sertifikātu atslēgas, izmantojot īpašie atslēgu serveri, kas darbojas vietnes īpašnieka pusē, taču darbs šajā režīmā ievērojami aizkavē trafika piegādi, samazina uzticamību papildu saites parādīšanās dēļ un prasa sarežģītas infrastruktūras izvietošanu.
Ierosinātais TLS paplašinājums Delegētie akreditācijas dati ievieš papildu starpposma privāto atslēgu, kuras derīguma termiņš ir stundas vai vairākas dienas (ne vairāk kā 7 dienas). Šī atslēga tiek ģenerēta, pamatojoties uz sertifikācijas iestādes izsniegtu sertifikātu, un tā ļauj saglabāt sākotnējā sertifikāta privāto atslēgu slepenībā no satura piegādes pakalpojumiem, nodrošinot tiem tikai pagaidu sertifikātu ar īsu kalpošanas laiku.
Lai izvairītos no piekļuves problēmām pēc starpatslēgas derīguma termiņa beigām, tiek nodrošināta automātiskās atjaunināšanas tehnoloģija, kas tiek veikta sākotnējā TLS servera pusē. Ģenerēšanai nav nepieciešamas manuālas darbības vai skriptu palaišana – autorizēts serveris, kuram ir nepieciešama privātā atslēga, pirms iepriekšējās atslēgas derīguma termiņa beigām sazinās ar vietnes sākotnējo TLS serveri un tas ģenerē starpatslēgu nākamajam īsajam laika periodam.
Pārlūkprogrammas, kas atbalsta deleģēto akreditācijas datu TLS paplašinājumu, šādus atvasinātos sertifikātus uzskatīs par uzticamiem. Piemēram, norādītā paplašinājuma atbalsts jau ir pievienots Firefox nakts versijām un beta versijām, un to var aktivizēt vietnē about:config, mainot iestatījumu “security.tls.enable_delegated_credentials”. Novembra vidū eksperimentu plānots veikt arī noteiktam procentuālam Firefox testa versiju lietotāju.“, kura ietvaros uz Cloudflare DC serveri tiks nosūtīts testa pieprasījums, lai pārbaudītu jaunā TLS paplašinājuma ieviešanas kvalitāti. Bibliotēkā jau ir iebūvēts arī atbalsts deleģētajiem akreditācijas datiem ar TLS 1.3 ieviešanu.
Deleģēto akreditācijas datu specifikācija ir iesniegta IETF (Internet Engineering Task Force) komitejai, kas ir atbildīga par interneta protokolu un arhitektūras izstrādi un atrodas , kas apgalvo, ka ir interneta standarts. Deleģēto akreditācijas datu paplašinājumu var izmantot tikai ar TLSv1.3.
Lai ģenerētu starpposma atslēgas, ir jāiegūst TLS sertifikāts, kas ietver īpašu X.509 paplašinājumu, ko pašlaik atbalsta tikai DigiCert sertifikācijas iestāde.
Avots: opennet.ru