, ΠΈ bersama-sama mengumumkan sambungan TLS baharu (DC), menyelesaikan masalah dengan sijil apabila mengatur akses ke tapak melalui rangkaian penghantaran kandungan. Sijil yang dikeluarkan oleh pihak berkuasa pensijilan mempunyai tempoh sah yang panjang, yang menimbulkan kesukaran apabila perlu untuk mengatur akses ke tapak melalui perkhidmatan pihak ketiga, yang bagi pihaknya sambungan selamat mesti diwujudkan, sejak memindahkan sijil tapak kepada pihak luar perkhidmatan mewujudkan ancaman keselamatan tambahan.
Sambungan baharu juga mungkin berguna untuk tapak yang beroperasi pada infrastruktur teragih yang besar dengan sejumlah besar pengimbang beban. Kredensial yang Diwakilkan akan mengelak daripada menyimpan salinan kunci peribadi sijil utama pada setiap nod penghantaran kandungan. Dengan pendekatan klasik, serangan yang berjaya pada mana-mana pelayan yang terlibat dalam menghantar trafik HTTPS akan membawa kepada kompromi keseluruhan sijil. Jika kunci persendirian dipindahkan ke rangkaian penghantaran kandungan, terdapat ancaman kebocoran data akibat sabotaj oleh kakitangan, tindakan agensi perisikan atau kompromi terhadap infrastruktur CDN.
Jika kebocoran kunci tidak dapat dikesan, mereka yang telah mendapat akses kepada kunci akan dapat menyekat diri mereka secara tidak dapat dikesan ke dalam trafik tapak (MITM) untuk masa yang agak lama, memandangkan tempoh sah sijil dikira dalam bulan dan tahun. Cloudflare boleh melindungi kunci sijil dengan pelayan utama khas yang beroperasi di sisi pemilik tapak, tetapi bekerja dalam mod ini membawa kepada kelewatan yang ketara dalam penghantaran trafik, mengurangkan kebolehpercayaan disebabkan oleh kemunculan pautan tambahan dan memerlukan penggunaan infrastruktur yang kompleks.
Pelanjutan TLS yang dicadangkan Kredensial Delegated memperkenalkan kunci persendirian perantaraan tambahan, yang kesahihannya terhad kepada jam atau beberapa hari (tidak lebih daripada 7 hari). Kunci ini dijana berdasarkan sijil yang dikeluarkan oleh pihak berkuasa pensijilan dan membolehkan anda merahsiakan kunci peribadi sijil asal daripada perkhidmatan penghantaran kandungan, memberikan mereka hanya sijil sementara dengan jangka hayat yang singkat.
Untuk mengelakkan masalah capaian selepas kunci perantaraan telah tamat tempoh, teknologi kemas kini automatik disediakan yang dilakukan pada sisi pelayan TLS asal. Penjanaan tidak memerlukan operasi manual atau skrip berjalan - pelayan dibenarkan yang memerlukan kunci persendirian, sebelum hayat kunci sebelumnya tamat, menghubungi pelayan TLS asal tapak dan ia menjana kunci perantaraan untuk tempoh masa yang singkat seterusnya.
Penyemak imbas yang menyokong sambungan TLS Bukti Kelayakan yang Diwakilkan akan menganggap sijil yang diperoleh itu sebagai boleh dipercayai. Sebagai contoh, sokongan untuk sambungan yang ditentukan telah pun ditambahkan pada versi Firefox binaan dan beta setiap malam dan boleh diaktifkan dalam about:config dengan menukar tetapan "security.tls.enable_delegated_credentials". Pada pertengahan November, satu eksperimen juga dirancang untuk dijalankan di kalangan peratusan tertentu pengguna versi ujian Firefox "β, di mana permintaan ujian akan dihantar ke pelayan Cloudflare DC untuk menyemak kualiti pelaksanaan sambungan TLS baharu. Sokongan untuk Bukti Kelayakan Diwakilkan juga telah dibina ke dalam perpustakaan dengan pelaksanaan TLS 1.3.
Spesifikasi Delegated Credentials telah diserahkan kepada jawatankuasa IETF (Internet Engineering Task Force), yang bertanggungjawab untuk pembangunan protokol dan seni bina Internet, dan berada di , yang mendakwa sebagai standard Internet. Sambungan Kredensial Diwakilkan hanya boleh digunakan dengan TLSv1.3.
Untuk menjana kunci perantaraan, anda perlu mendapatkan sijil TLS yang termasuk sambungan X.509 khas, yang pada masa ini hanya disokong oleh pihak berkuasa pensijilan DigiCert.
Sumber: opennet.ru