, и wspólnie ogłosili nowe rozszerzenie TLS (DC), rozwiązując problem z certyfikatami podczas organizowania dostępu do witryny za pośrednictwem sieci dostarczania treści. Certyfikaty wydawane przez urzędy certyfikacji mają długi okres ważności, co stwarza trudności w przypadku konieczności zorganizowania dostępu do witryny poprzez usługę strony trzeciej, w imieniu której należy nawiązać bezpieczne połączenie, gdyż przeniesienie certyfikatu witryny na zewnętrzny usługa stwarza dodatkowe zagrożenia bezpieczeństwa.
Nowe rozszerzenie może być również przydatne w przypadku witryn działających na dużej rozproszonej infrastrukturze z dużą liczbą modułów równoważenia obciążenia. Delegowane poświadczenia pozwolą uniknąć przechowywania kopii kluczy prywatnych głównych certyfikatów w każdym węźle dostarczania treści. W przypadku klasycznego podejścia udany atak na którykolwiek z serwerów biorących udział w wysyłaniu ruchu HTTPS doprowadzi do naruszenia bezpieczeństwa całego certyfikatu. Jeśli klucze prywatne zostaną przesłane do sieci dostarczania treści, istnieje ryzyko wycieku danych w wyniku sabotażu personelu, działań agencji wywiadowczych lub naruszenia infrastruktury CDN.
Jeśli wyciek klucza pozostanie niewykryty, osoby, które uzyskały dostęp do kluczy, będą mogły w niezauważalny sposób wcisnąć się w ruch w witrynie (MITM) na dość długi czas, ponieważ okresy ważności certyfikatów liczone są w miesiącach i latach. Cloudflare może chronić klucze certyfikatów poprzez specjalne serwery kluczy działające po stronie właściciela witryny, ale praca w tym trybie prowadzi do znacznych opóźnień w dostarczaniu ruchu, zmniejsza niezawodność ze względu na pojawienie się dodatkowego łącza i wymaga wdrożenia złożonej infrastruktury.
Proponowane rozszerzenie TLS Delegated Credentials wprowadza dodatkowy pośredni klucz prywatny, którego ważność jest ograniczona do godzin lub kilku dni (nie więcej niż 7 dni). Klucz ten generowany jest na podstawie certyfikatu wydanego przez urząd certyfikacji i pozwala zachować klucz prywatny oryginalnego certyfikatu w tajemnicy przed usługami dostarczania treści, zapewniając im jedynie certyfikat tymczasowy o krótkim czasie życia.
Aby uniknąć problemów z dostępem po wygaśnięciu klucza pośredniego, zapewniona jest technologia automatycznej aktualizacji przeprowadzana po stronie oryginalnego serwera TLS. Generowanie nie wymaga ręcznych operacji ani uruchamiania skryptów - autoryzowany serwer, który wymaga klucza prywatnego, zanim upłynie czas życia poprzedniego klucza, kontaktuje się z pierwotnym serwerem TLS witryny i generuje klucz pośredni na kolejny krótki okres czasu.
Przeglądarki obsługujące rozszerzenie TLS Delegated Credentials będą traktować takie pochodne certyfikaty jako godne zaufania. Na przykład obsługa określonego rozszerzenia została już dodana do kompilacji Nightly i wersji beta Firefoksa i można ją aktywować w about:config, zmieniając ustawienie „security.tls.enable_delegated_credentials”. W połowie listopada planowane jest także przeprowadzenie eksperymentu wśród określonego odsetka użytkowników testowych wersji Firefoksa””, w ramach którego do serwera Cloudflare DC zostanie wysłane żądanie testowe w celu sprawdzenia jakości wdrożenia nowego rozszerzenia TLS. Obsługa delegowanych poświadczeń jest już wbudowana w bibliotekę z implementacją TLS 1.3.
Specyfikacja Delegated Credentials została zgłoszona do komisji IETF (Internet Engineering Task Force), która odpowiada za rozwój protokołów i architektury internetowej i jest na etapie , który twierdzi, że jest standardem internetowym. Rozszerzenia Delegowane poświadczenia można używać wyłącznie z protokołem TLSv1.3.
Aby wygenerować klucze pośrednie, należy uzyskać certyfikat TLS zawierający specjalne rozszerzenie X.509, które obecnie jest obsługiwane tylko przez urząd certyfikacji DigiCert.
Źródło: opennet.ru