, и hebben gezamenlijk een nieuwe TLS-extensie aangekondigd (DC), waarmee het probleem met certificaten wordt opgelost bij het organiseren van toegang tot een site via netwerken voor inhoudslevering. Certificaten uitgegeven door certificeringsinstanties hebben een lange geldigheidsduur, wat problemen oplevert wanneer het nodig is om de toegang tot een site te organiseren via een dienst van derden, namens wie een beveiligde verbinding tot stand moet worden gebracht, aangezien de overdracht van het certificaat van de site naar een externe service creëert extra veiligheidsbedreigingen.
De nieuwe uitbreiding kan ook nuttig zijn voor sites die werken op een grote gedistribueerde infrastructuur met een groot aantal load balancers. Met gedelegeerde referenties wordt voorkomen dat kopieën van de privésleutels van de hoofdcertificaten op elk knooppunt voor inhoudslevering worden opgeslagen. Met de klassieke aanpak zal een succesvolle aanval op een van de servers die betrokken zijn bij het verzenden van HTTPS-verkeer leiden tot het compromitteren van het volledige certificaat. Als privésleutels worden overgedragen aan netwerken voor het leveren van inhoud, bestaat het gevaar van gegevenslekken als gevolg van sabotage door personeel, acties van inlichtingendiensten of het compromitteren van de CDN-infrastructuur.
Als een sleutellek onopgemerkt blijft, kunnen degenen die toegang hebben gekregen tot de sleutels zich gedurende een behoorlijk lange tijd ondetecteerbaar in het siteverkeer (MITM) vastzetten, aangezien de geldigheidsperioden van certificaten worden berekend in maanden en jaren. Cloudflare kan certificaatsleutels beschermen door speciale sleutelservers die aan de kant van de site-eigenaar werken, maar het werken in deze modus leidt tot aanzienlijke vertragingen in de verkeersaflevering, vermindert de betrouwbaarheid door het verschijnen van een extra link en vereist de inzet van een complexe infrastructuur.
De voorgestelde TLS-extensie Delegated Credentials introduceert een extra tussenliggende privésleutel, waarvan de geldigheid beperkt is tot uren of meerdere dagen (niet meer dan 7 dagen). Deze sleutel wordt gegenereerd op basis van een certificaat uitgegeven door een certificeringsinstantie en stelt u in staat de privésleutel van het originele certificaat geheim te houden voor diensten voor inhoudslevering, waardoor deze slechts een tijdelijk certificaat met een korte levensduur krijgen.
Om toegangsproblemen te voorkomen nadat de tussensleutel is verlopen, is er een automatische updatetechnologie voorzien die wordt uitgevoerd aan de kant van de originele TLS-server. Voor het genereren zijn geen handmatige handelingen of scripts nodig. Een geautoriseerde server die een privésleutel nodig heeft, neemt voordat de levensduur van de vorige sleutel afloopt contact op met de oorspronkelijke TLS-server van de site en genereert een tussensleutel voor de volgende korte periode.
Browsers die de TLS-extensie Delegated Credentials ondersteunen, zullen dergelijke afgeleide certificaten als betrouwbaar beschouwen. Ondersteuning voor de opgegeven extensie is bijvoorbeeld al toegevoegd aan nachtelijke builds en bètaversies van Firefox en kan worden geactiveerd in about:config door de instelling “security.tls.enable_delegated_credentials” te wijzigen. Medio november staat er ook een experiment gepland onder een bepaald percentage gebruikers van testversies van Firefox.”“, waarbinnen een testverzoek naar de Cloudflare DC-server wordt gestuurd om de kwaliteit van de implementatie van de nieuwe TLS-extensie te controleren. Ondersteuning voor gedelegeerde referenties is ook al in de bibliotheek ingebouwd met TLS 1.3-implementatie.
De Delegated Credentials-specificatie is voorgelegd aan de IETF-commissie (Internet Engineering Task Force), die verantwoordelijk is voor de ontwikkeling van internetprotocollen en -architectuur, en die aan de slag is , die beweert een internetstandaard te zijn. De extensie Delegated Credentials kan alleen worden gebruikt met TLSv1.3.
Om tussensleutels te genereren, heeft u een TLS-certificaat nodig dat een speciale X.509-extensie bevat, die momenteel alleen wordt ondersteund door de DigiCert-certificeringsinstantie.
Bron: opennet.ru