, и a anunțat în comun o nouă extensie TLS (DC), rezolvarea problemei cu certificatele la organizarea accesului la un site prin intermediul rețelelor de livrare de conținut. Certificatele emise de autoritățile de certificare au o perioadă lungă de valabilitate, ceea ce creează dificultăți atunci când este necesară organizarea accesului la un site printr-un serviciu terț, în numele căruia trebuie să se stabilească o conexiune securizată, din moment ce se transferă certificatul site-ului către un extern. serviciul creează amenințări suplimentare de securitate.
Noua extensie poate fi utilă și pentru site-urile care operează pe o infrastructură mare distribuită cu un număr mare de echilibratori de încărcare. Acreditările delegate vor evita stocarea de copii ale cheilor private ale certificatelor principale pe fiecare nod de livrare de conținut. Cu abordarea clasică, un atac de succes asupra oricăruia dintre serverele implicate în trimiterea traficului HTTPS va duce la compromiterea întregului certificat. Dacă cheile private sunt transferate către rețelele de livrare de conținut, există amenințări cu scurgeri de date ca urmare a sabotajului personalului, a acțiunilor agențiilor de informații sau a compromiterii infrastructurii CDN.
Dacă o scurgere de cheie rămâne nedetectată, cei care au obținut acces la chei vor putea să se încurce nedetectabil în traficul site-ului (MITM) pentru o perioadă destul de lungă, deoarece perioadele de valabilitate ale certificatelor sunt calculate în luni și ani. Cloudflare poate proteja cheile de certificat prin servere de cheie speciale care operează de partea proprietarului site-ului, dar lucrul în acest mod duce la întârzieri semnificative în livrarea traficului, reduce fiabilitatea datorită apariției unei legături suplimentare și necesită implementarea unei infrastructuri complexe.
Extensia TLS propusă Acreditări delegate introduce o cheie privată intermediară suplimentară, a cărei valabilitate este limitată la ore sau câteva zile (nu mai mult de 7 zile). Această cheie este generată pe baza unui certificat emis de o autoritate de certificare și vă permite să păstrați secretă cheia privată a certificatului original de la serviciile de livrare de conținut, oferindu-le doar un certificat temporar cu o durată scurtă de viață.
Pentru a evita problemele de acces după ce cheia intermediară a expirat, este prevăzută o tehnologie de actualizare automată care se realizează pe partea serverului TLS original. Generarea nu necesită operații manuale sau rularea de scripturi - un server autorizat care necesită o cheie privată, înainte de expirarea duratei de viață a cheii anterioare, contactează serverul TLS original al site-ului și generează o cheie intermediară pentru următoarea perioadă scurtă de timp.
Browserele care acceptă extensia TLS Delegated Credentials vor trata astfel de certificate derivate ca fiind de încredere. De exemplu, suportul pentru extensia specificată a fost deja adăugat la versiunile de noapte și la versiunile beta ale Firefox și poate fi activat în about:config prin modificarea setarii „security.tls.enable_delegated_credentials”. La mijlocul lunii noiembrie, este planificat să se desfășoare și un experiment în rândul unui anumit procent de utilizatori ai versiunilor de testare a Firefox.„, în cadrul căruia va fi trimisă o cerere de testare către serverul Cloudflare DC pentru a verifica calitatea implementării noii extensii TLS. Suportul pentru acreditările delegate este deja integrat în bibliotecă cu implementarea TLS 1.3.
Specificația de acreditări delegate a fost înaintată comitetului IETF (Internet Engineering Task Force), care este responsabil pentru dezvoltarea protocoalelor și arhitecturii Internet și este la , care se pretinde a fi un standard de internet. Extensia Acreditări delegate poate fi utilizată numai cu TLSv1.3.
Pentru a genera chei intermediare, trebuie să obțineți un certificat TLS care include o extensie specială X.509, care este în prezent acceptată doar de autoritatea de certificare DigiCert.
Sursa: opennet.ru