, и kunngjorde i fellesskap en ny TLS-utvidelse (DC), løser problemet med sertifikater når du organiserer tilgang til et nettsted gjennom innholdsleveringsnettverk. Sertifikater utstedt av sertifiseringsmyndigheter har en lang gyldighetsperiode, noe som skaper vanskeligheter når det er nødvendig å organisere tilgang til et nettsted gjennom en tredjepartstjeneste, på vegne av hvilken en sikker forbindelse må opprettes, siden overføring av nettstedets sertifikat til en ekstern tjenesten skaper ytterligere sikkerhetstrusler.
Den nye utvidelsen kan også være nyttig for nettsteder som opererer på en stor distribuert infrastruktur med et stort antall lastbalansere. Delegert legitimasjon vil unngå å lagre kopier av de private nøklene til hovedsertifikatene på hver innholdsleveringsnode. Med den klassiske tilnærmingen vil et vellykket angrep på en av serverne som er involvert i å sende HTTPS-trafikk føre til at hele sertifikatet blir kompromittert. Hvis private nøkler overføres til innholdsleveringsnettverk, er det trusler om datalekkasje som følge av sabotasje fra personell, handlinger fra etterretningsbyråer eller kompromittering av CDN-infrastrukturen.
Hvis en nøkkellekkasje ikke blir oppdaget, vil de som har fått tilgang til nøklene kunne uoppdagelig kile seg inn i nettstedstrafikken (MITM) i ganske lang tid, siden gyldighetsperioder for sertifikater beregnes i måneder og år. Cloudflare kan beskytte sertifikatnøkler ved spesielle nøkkelservere som opererer på siden av nettstedets eier, men å jobbe i denne modusen fører til betydelige forsinkelser i trafikklevering, reduserer påliteligheten på grunn av utseendet til en ekstra kobling og krever utplassering av kompleks infrastruktur.
Den foreslåtte TLS-utvidelsen Delegated Credentials introduserer en ekstra mellomliggende privat nøkkel, hvis gyldighet er begrenset til timer eller flere dager (ikke mer enn 7 dager). Denne nøkkelen genereres basert på et sertifikat utstedt av en sertifiseringsinstans og lar deg holde den private nøkkelen til det originale sertifikatet hemmelig fra innholdsleveringstjenester, og gir dem kun et midlertidig sertifikat med kort levetid.
For å unngå tilgangsproblemer etter at mellomnøkkelen er utløpt, leveres en automatisk oppdateringsteknologi som utføres på siden av den originale TLS-serveren. Generering krever ikke manuelle operasjoner eller kjørende skript - en autorisert server som krever en privat nøkkel, før levetiden til den forrige nøkkelen utløper, kontakter den opprinnelige TLS-serveren til nettstedet og den genererer en mellomnøkkel for den neste korte tidsperioden.
Nettlesere som støtter utvidelsen Delegated Credentials TLS vil behandle slike avledede sertifikater som pålitelige. For eksempel er støtte for den spesifiserte utvidelsen allerede lagt til nattlige bygg og betaversjoner av Firefox og kan aktiveres i about:config ved å endre "security.tls.enable_delegated_credentials"-innstillingen. I midten av november er det også planlagt å gjennomføre et eksperiment blant en viss prosentandel av brukere av testversjoner av Firefox "", der en testforespørsel vil bli sendt til Cloudflare DC-serveren for å sjekke kvaliteten på implementeringen av den nye TLS-utvidelsen. Støtte for delegert legitimasjon er også allerede innebygd i biblioteket med TLS 1.3 implementering.
Spesifikasjonen for delegert legitimasjon er sendt til IETF (Internet Engineering Task Force)-komiteen, som er ansvarlig for utviklingen av Internett-protokoller og arkitektur, og er på , som hevder å være en Internett-standard. Utvidelsen Delegert legitimasjon kan bare brukes med TLSv1.3.
For å generere mellomnøkler må du anskaffe et TLS-sertifikat som inkluderer en spesiell X.509-utvidelse, som for øyeblikket kun støttes av DigiCert-sertifiseringsmyndigheten.
Kilde: opennet.ru