Sambungan baharu juga mungkin berguna untuk tapak yang beroperasi pada infrastruktur teragih yang besar dengan sejumlah besar pengimbang beban. Kredensial yang Diwakilkan akan mengelak daripada menyimpan salinan kunci peribadi sijil utama pada setiap nod penghantaran kandungan. Dengan pendekatan klasik, serangan yang berjaya pada mana-mana pelayan yang terlibat dalam menghantar trafik HTTPS akan membawa kepada kompromi keseluruhan sijil. Jika kunci persendirian dipindahkan ke rangkaian penghantaran kandungan, terdapat ancaman kebocoran data akibat sabotaj oleh kakitangan, tindakan agensi perisikan atau kompromi terhadap infrastruktur CDN.
Jika kebocoran kunci tidak dapat dikesan, mereka yang telah mendapat akses kepada kunci akan dapat menyekat diri mereka secara tidak dapat dikesan ke dalam trafik tapak (MITM) untuk masa yang agak lama, memandangkan tempoh sah sijil dikira dalam bulan dan tahun. Cloudflare boleh melindungi kunci sijil dengan
Pelanjutan TLS yang dicadangkan Kredensial Delegated memperkenalkan kunci persendirian perantaraan tambahan, yang kesahihannya terhad kepada jam atau beberapa hari (tidak lebih daripada 7 hari). Kunci ini dijana berdasarkan sijil yang dikeluarkan oleh pihak berkuasa pensijilan dan membolehkan anda merahsiakan kunci peribadi sijil asal daripada perkhidmatan penghantaran kandungan, memberikan mereka hanya sijil sementara dengan jangka hayat yang singkat.
Untuk mengelakkan masalah capaian selepas kunci perantaraan telah tamat tempoh, teknologi kemas kini automatik disediakan yang dilakukan pada sisi pelayan TLS asal. Penjanaan tidak memerlukan operasi manual atau skrip berjalan - pelayan dibenarkan yang memerlukan kunci persendirian, sebelum hayat kunci sebelumnya tamat, menghubungi pelayan TLS asal tapak dan ia menjana kunci perantaraan untuk tempoh masa yang singkat seterusnya.
Penyemak imbas yang menyokong sambungan TLS Bukti Kelayakan yang Diwakilkan akan menganggap sijil yang diperoleh itu sebagai boleh dipercayai. Sebagai contoh, sokongan untuk sambungan yang ditentukan telah pun ditambahkan pada versi Firefox binaan dan beta setiap malam dan boleh diaktifkan dalam about:config dengan menukar tetapan "security.tls.enable_delegated_credentials". Pada pertengahan November, satu eksperimen juga dirancang untuk dijalankan di kalangan peratusan tertentu pengguna versi ujian Firefox "
Spesifikasi Delegated Credentials telah diserahkan kepada jawatankuasa IETF (Internet Engineering Task Force), yang bertanggungjawab untuk pembangunan protokol dan seni bina Internet, dan berada di
Untuk menjana kunci perantaraan, anda perlu mendapatkan sijil TLS yang termasuk sambungan X.509 khas, yang pada masa ini hanya disokong oleh pihak berkuasa pensijilan DigiCert.
Sumber: opennet.ru