, и хамтран шинэ TLS өргөтгөл зарлалаа (DC), контент хүргэх сүлжээгээр дамжуулан сайт руу нэвтрэх эрхийг зохион байгуулахдаа гэрчилгээтэй холбоотой асуудлыг шийдвэрлэх. Гэрчилгээжүүлэх байгууллагаас олгосон гэрчилгээ нь урт хугацааны хүчинтэй байдаг бөгөөд энэ нь сайтын гэрчилгээг гадны байгууллагад шилжүүлснээс хойш аюулгүй холболтыг бий болгох шаардлагатай гуравдагч этгээдийн үйлчилгээгээр дамжуулан сайт руу нэвтрэх ажлыг зохион байгуулахад хүндрэл учруулдаг. үйлчилгээ нь аюулгүй байдлын нэмэлт аюулыг бий болгодог.
Шинэ өргөтгөл нь олон тооны ачаалал тэнцвэржүүлэгчтэй, тархсан дэд бүтэц дээр ажилладаг сайтуудад бас хэрэгтэй байж болох юм. Төлөөлөгдсөн итгэмжлэлүүд нь контент хүргэх цэг бүр дээр үндсэн гэрчилгээний хувийн түлхүүрүүдийн хуулбарыг хадгалахаас зайлсхийх болно. Сонгодог аргын хувьд HTTPS траффик илгээхэд оролцож буй серверүүдийн аль нэг рүү амжилттай халдлага хийх нь гэрчилгээг бүхэлд нь эвдэхэд хүргэнэ. Хэрэв хувийн түлхүүрүүдийг контент дамжуулах сүлжээнд шилжүүлбэл ажилтнуудын хорлон сүйтгэх ажиллагаа, тагнуулын байгууллагын үйл ажиллагаа, CDN-ийн дэд бүтцийн эвдрэлийн үр дүнд мэдээлэл алдагдах аюул бий.
Хэрэв түлхүүр алдагдсаныг илрүүлээгүй бол гэрчилгээний хүчинтэй байх хугацааг сар, жилээр тооцдог тул түлхүүрт нэвтэрсэн хүмүүс сайтын траффик (MITM) руу нэлээд удаан хугацаагаар орох боломжтой болно. Cloudflare нь гэрчилгээний түлхүүрүүдийг хамгаалах боломжтой Тусгай түлхүүр серверүүд нь сайтын эзний талд ажилладаг боловч энэ горимд ажиллах нь траффик дамжуулахад ихээхэн саатал үүсгэж, нэмэлт холбоос гарч ирснээр найдвартай байдлыг бууруулж, нарийн төвөгтэй дэд бүтцийг байрлуулахыг шаарддаг.
Санал болгож буй TLS өргөтгөл Төлөөлөгчдийн итгэмжлэл нь нэмэлт завсрын хувийн түлхүүрийг нэвтрүүлсэн бөгөөд хүчинтэй байх хугацаа нь хэдэн цаг эсвэл хэдэн өдөр (7 хоногоос илүүгүй) хязгаарлагддаг. Энэхүү түлхүүр нь баталгаажуулалтын байгууллагаас олгосон гэрчилгээнд үндэслэн үүсгэгдсэн бөгөөд анхны гэрчилгээний хувийн түлхүүрийг контент хүргэх үйлчилгээнээс нууцалж, богино хугацааны ашиглалтын хугацаатай түр зуурын гэрчилгээ олгох боломжийг танд олгоно.
Завсрын түлхүүрийн хугацаа дууссаны дараа хандалтын асуудлаас зайлсхийхийн тулд анхны TLS серверийн хажуу талд автоматаар шинэчлэх технологийг суурилуулсан. Үүсгэхийн тулд гарын авлагын үйлдэл эсвэл скрипт ажиллуулах шаардлагагүй - хувийн түлхүүр шаарддаг эрх бүхий сервер нь өмнөх түлхүүрийн ашиглалтын хугацаа дуусахаас өмнө сайтын анхны TLS сервертэй холбогдож дараагийн богино хугацаанд завсрын түлхүүр үүсгэдэг.
Төлөөлөгчдийн итгэмжлэлийн TLS өргөтгөлийг дэмждэг хөтчүүд ийм төрлийн гэрчилгээг найдвартай гэж үзэх болно. Жишээлбэл, заасан өргөтгөлийн дэмжлэгийг Firefox-ын шөнийн хувилбарууд болон бета хувилбаруудад аль хэдийн нэмсэн бөгөөд "security.tls.enable_delegated_credentials" тохиргоог өөрчилснөөр about:config дотор идэвхжүүлэх боломжтой. Арваннэгдүгээр сарын дундуур Firefox-ын туршилтын хувилбаруудын хэрэглэгчдийн тодорхой хувь нь дунд туршилт хийхээр төлөвлөж байна.", үүний дотор шинэ TLS өргөтгөлийн хэрэгжилтийн чанарыг шалгахын тулд Cloudflare DC сервер рүү туршилтын хүсэлт илгээгдэх болно. Төлөөлөгчдийн итгэмжлэлийн дэмжлэгийг номын санд аль хэдийн суулгасан TLS 1.3 хэрэгжилттэй.
Төлөөлөгчдийн итгэмжлэлийн тодорхойлолтыг Интернэтийн протокол, архитектурыг боловсруулах үүрэгтэй IETF (Интернет инженерийн ажлын хэсэг) хороонд хүргүүлсэн. , энэ нь интернетийн стандарт гэж үздэг. Төлөөлөгчдийн итгэмжлэлийн өргөтгөлийг зөвхөн TLSv1.3-д ашиглах боломжтой.
Завсрын түлхүүрүүдийг үүсгэхийн тулд та тусгай X.509 өргөтгөл агуулсан TLS гэрчилгээ авах шаардлагатай бөгөөд одоогоор үүнийг зөвхөн DigiCert гэрчилгээжүүлэх байгууллага дэмждэг.
Эх сурвалж: opennet.ru