Noua extensie poate fi utilă și pentru site-urile care operează pe o infrastructură mare distribuită cu un număr mare de echilibratori de încărcare. Acreditările delegate vor evita stocarea de copii ale cheilor private ale certificatelor principale pe fiecare nod de livrare de conținut. Cu abordarea clasică, un atac de succes asupra oricăruia dintre serverele implicate în trimiterea traficului HTTPS va duce la compromiterea întregului certificat. Dacă cheile private sunt transferate către rețelele de livrare de conținut, există amenințări cu scurgeri de date ca urmare a sabotajului personalului, a acțiunilor agențiilor de informații sau a compromiterii infrastructurii CDN.
Dacă o scurgere de cheie rămâne nedetectată, cei care au obținut acces la chei vor putea să se încurce nedetectabil în traficul site-ului (MITM) pentru o perioadă destul de lungă, deoarece perioadele de valabilitate ale certificatelor sunt calculate în luni și ani. Cloudflare poate proteja cheile de certificat prin
Extensia TLS propusă Acreditări delegate introduce o cheie privată intermediară suplimentară, a cărei valabilitate este limitată la ore sau câteva zile (nu mai mult de 7 zile). Această cheie este generată pe baza unui certificat emis de o autoritate de certificare și vă permite să păstrați secretă cheia privată a certificatului original de la serviciile de livrare de conținut, oferindu-le doar un certificat temporar cu o durată scurtă de viață.
Pentru a evita problemele de acces după ce cheia intermediară a expirat, este prevăzută o tehnologie de actualizare automată care se realizează pe partea serverului TLS original. Generarea nu necesită operații manuale sau rularea de scripturi - un server autorizat care necesită o cheie privată, înainte de expirarea duratei de viață a cheii anterioare, contactează serverul TLS original al site-ului și generează o cheie intermediară pentru următoarea perioadă scurtă de timp.
Browserele care acceptă extensia TLS Delegated Credentials vor trata astfel de certificate derivate ca fiind de încredere. De exemplu, suportul pentru extensia specificată a fost deja adăugat la versiunile de noapte și la versiunile beta ale Firefox și poate fi activat în about:config prin modificarea setarii „security.tls.enable_delegated_credentials”. La mijlocul lunii noiembrie, este planificat să se desfășoare și un experiment în rândul unui anumit procent de utilizatori ai versiunilor de testare a Firefox.
Specificația de acreditări delegate a fost înaintată comitetului IETF (Internet Engineering Task Force), care este responsabil pentru dezvoltarea protocoalelor și arhitecturii Internet și este la
Pentru a genera chei intermediare, trebuie să obțineți un certificat TLS care include o extensie specială X.509, care este în prezent acceptată doar de autoritatea de certificare DigiCert.
Sursa: opennet.ru