Den nye utvidelsen kan også være nyttig for nettsteder som opererer på en stor distribuert infrastruktur med et stort antall lastbalansere. Delegert legitimasjon vil unngå å lagre kopier av de private nøklene til hovedsertifikatene på hver innholdsleveringsnode. Med den klassiske tilnærmingen vil et vellykket angrep på en av serverne som er involvert i å sende HTTPS-trafikk føre til at hele sertifikatet blir kompromittert. Hvis private nøkler overføres til innholdsleveringsnettverk, er det trusler om datalekkasje som følge av sabotasje fra personell, handlinger fra etterretningsbyråer eller kompromittering av CDN-infrastrukturen.
Hvis en nøkkellekkasje ikke blir oppdaget, vil de som har fått tilgang til nøklene kunne uoppdagelig kile seg inn i nettstedstrafikken (MITM) i ganske lang tid, siden gyldighetsperioder for sertifikater beregnes i måneder og år. Cloudflare kan beskytte sertifikatnøkler ved
Den foreslåtte TLS-utvidelsen Delegated Credentials introduserer en ekstra mellomliggende privat nøkkel, hvis gyldighet er begrenset til timer eller flere dager (ikke mer enn 7 dager). Denne nøkkelen genereres basert på et sertifikat utstedt av en sertifiseringsinstans og lar deg holde den private nøkkelen til det originale sertifikatet hemmelig fra innholdsleveringstjenester, og gir dem kun et midlertidig sertifikat med kort levetid.
For å unngå tilgangsproblemer etter at mellomnøkkelen er utløpt, leveres en automatisk oppdateringsteknologi som utføres på siden av den originale TLS-serveren. Generering krever ikke manuelle operasjoner eller kjørende skript - en autorisert server som krever en privat nøkkel, før levetiden til den forrige nøkkelen utløper, kontakter den opprinnelige TLS-serveren til nettstedet og den genererer en mellomnøkkel for den neste korte tidsperioden.
Nettlesere som støtter utvidelsen Delegated Credentials TLS vil behandle slike avledede sertifikater som pålitelige. For eksempel er støtte for den spesifiserte utvidelsen allerede lagt til nattlige bygg og betaversjoner av Firefox og kan aktiveres i about:config ved å endre "security.tls.enable_delegated_credentials"-innstillingen. I midten av november er det også planlagt å gjennomføre et eksperiment blant en viss prosentandel av brukere av testversjoner av Firefox "
Spesifikasjonen for delegert legitimasjon er sendt til IETF (Internet Engineering Task Force)-komiteen, som er ansvarlig for utviklingen av Internett-protokoller og arkitektur, og er på
For å generere mellomnøkler må du anskaffe et TLS-sertifikat som inkluderer en spesiell X.509-utvidelse, som for øyeblikket kun støttes av DigiCert-sertifiseringsmyndigheten.
Kilde: opennet.ru