De nieuwe uitbreiding kan ook nuttig zijn voor sites die werken op een grote gedistribueerde infrastructuur met een groot aantal load balancers. Met gedelegeerde referenties wordt voorkomen dat kopieën van de privésleutels van de hoofdcertificaten op elk knooppunt voor inhoudslevering worden opgeslagen. Met de klassieke aanpak zal een succesvolle aanval op een van de servers die betrokken zijn bij het verzenden van HTTPS-verkeer leiden tot het compromitteren van het volledige certificaat. Als privésleutels worden overgedragen aan netwerken voor het leveren van inhoud, bestaat het gevaar van gegevenslekken als gevolg van sabotage door personeel, acties van inlichtingendiensten of het compromitteren van de CDN-infrastructuur.
Als een sleutellek onopgemerkt blijft, kunnen degenen die toegang hebben gekregen tot de sleutels zich gedurende een behoorlijk lange tijd ondetecteerbaar in het siteverkeer (MITM) vastzetten, aangezien de geldigheidsperioden van certificaten worden berekend in maanden en jaren. Cloudflare kan certificaatsleutels beschermen door
De voorgestelde TLS-extensie Delegated Credentials introduceert een extra tussenliggende privésleutel, waarvan de geldigheid beperkt is tot uren of meerdere dagen (niet meer dan 7 dagen). Deze sleutel wordt gegenereerd op basis van een certificaat uitgegeven door een certificeringsinstantie en stelt u in staat de privésleutel van het originele certificaat geheim te houden voor diensten voor inhoudslevering, waardoor deze slechts een tijdelijk certificaat met een korte levensduur krijgen.
Om toegangsproblemen te voorkomen nadat de tussensleutel is verlopen, is er een automatische updatetechnologie voorzien die wordt uitgevoerd aan de kant van de originele TLS-server. Voor het genereren zijn geen handmatige handelingen of scripts nodig. Een geautoriseerde server die een privésleutel nodig heeft, neemt voordat de levensduur van de vorige sleutel afloopt contact op met de oorspronkelijke TLS-server van de site en genereert een tussensleutel voor de volgende korte periode.
Browsers die de TLS-extensie Delegated Credentials ondersteunen, zullen dergelijke afgeleide certificaten als betrouwbaar beschouwen. Ondersteuning voor de opgegeven extensie is bijvoorbeeld al toegevoegd aan nachtelijke builds en bètaversies van Firefox en kan worden geactiveerd in about:config door de instelling “security.tls.enable_delegated_credentials” te wijzigen. Medio november staat er ook een experiment gepland onder een bepaald percentage gebruikers van testversies van Firefox.”
De Delegated Credentials-specificatie is voorgelegd aan de IETF-commissie (Internet Engineering Task Force), die verantwoordelijk is voor de ontwikkeling van internetprotocollen en -architectuur, en die aan de slag is
Om tussensleutels te genereren, heeft u een TLS-certificaat nodig dat een speciale X.509-extensie bevat, die momenteel alleen wordt ondersteund door de DigiCert-certificeringsinstantie.
Bron: opennet.ru