Nowe rozszerzenie może być również przydatne w przypadku witryn działających na dużej rozproszonej infrastrukturze z dużą liczbą modułów równoważenia obciążenia. Delegowane poświadczenia pozwolą uniknąć przechowywania kopii kluczy prywatnych głównych certyfikatów w każdym węźle dostarczania treści. W przypadku klasycznego podejścia udany atak na którykolwiek z serwerów biorących udział w wysyłaniu ruchu HTTPS doprowadzi do naruszenia bezpieczeństwa całego certyfikatu. Jeśli klucze prywatne zostaną przesłane do sieci dostarczania treści, istnieje ryzyko wycieku danych w wyniku sabotażu personelu, działań agencji wywiadowczych lub naruszenia infrastruktury CDN.
Jeśli wyciek klucza pozostanie niewykryty, osoby, które uzyskały dostęp do kluczy, będą mogły w niezauważalny sposób wcisnąć się w ruch w witrynie (MITM) na dość długi czas, ponieważ okresy ważności certyfikatów liczone są w miesiącach i latach. Cloudflare może chronić klucze certyfikatów poprzez
Proponowane rozszerzenie TLS Delegated Credentials wprowadza dodatkowy pośredni klucz prywatny, którego ważność jest ograniczona do godzin lub kilku dni (nie więcej niż 7 dni). Klucz ten generowany jest na podstawie certyfikatu wydanego przez urząd certyfikacji i pozwala zachować klucz prywatny oryginalnego certyfikatu w tajemnicy przed usługami dostarczania treści, zapewniając im jedynie certyfikat tymczasowy o krótkim czasie życia.
Aby uniknąć problemów z dostępem po wygaśnięciu klucza pośredniego, zapewniona jest technologia automatycznej aktualizacji przeprowadzana po stronie oryginalnego serwera TLS. Generowanie nie wymaga ręcznych operacji ani uruchamiania skryptów - autoryzowany serwer, który wymaga klucza prywatnego, zanim upłynie czas życia poprzedniego klucza, kontaktuje się z pierwotnym serwerem TLS witryny i generuje klucz pośredni na kolejny krótki okres czasu.
Przeglądarki obsługujące rozszerzenie TLS Delegated Credentials będą traktować takie pochodne certyfikaty jako godne zaufania. Na przykład obsługa określonego rozszerzenia została już dodana do kompilacji Nightly i wersji beta Firefoksa i można ją aktywować w about:config, zmieniając ustawienie „security.tls.enable_delegated_credentials”. W połowie listopada planowane jest także przeprowadzenie eksperymentu wśród określonego odsetka użytkowników testowych wersji Firefoksa”
Specyfikacja Delegated Credentials została zgłoszona do komisji IETF (Internet Engineering Task Force), która odpowiada za rozwój protokołów i architektury internetowej i jest na etapie
Aby wygenerować klucze pośrednie, należy uzyskać certyfikat TLS zawierający specjalne rozszerzenie X.509, które obecnie jest obsługiwane tylko przez urząd certyfikacji DigiCert.
Źródło: opennet.ru