, и spoločne oznámili nové rozšírenie TLS (DC), ktorý rieši problém s certifikátmi pri organizovaní prístupu na stránku prostredníctvom sietí na doručovanie obsahu. Certifikáty vydané certifikačnými autoritami majú dlhú dobu platnosti, čo spôsobuje ťažkosti, keď je potrebné zorganizovať prístup na stránku prostredníctvom služby tretej strany, v mene ktorej musí byť vytvorené bezpečné spojenie, pretože prenos certifikátu stránky na externú služba vytvára ďalšie bezpečnostné hrozby.
Nové rozšírenie môže byť užitočné aj pre lokality, ktoré fungujú na veľkej distribuovanej infraštruktúre s veľkým počtom vyrovnávačov záťaže. Delegované poverenia zabránia ukladaniu kópií súkromných kľúčov hlavných certifikátov na každom uzle na doručovanie obsahu. Pri klasickom prístupe povedie úspešný útok na ktorýkoľvek zo serverov zapojených do odosielania HTTPS prevádzky ku kompromitácii celého certifikátu. Ak sa súkromné kľúče prenesú do sietí na doručovanie obsahu, hrozí únik údajov v dôsledku sabotáže zo strany personálu, akcií spravodajských agentúr alebo ohrozenia infraštruktúry CDN.
Ak sa únik kľúča neodhalí, tí, ktorí získali prístup ku kľúčom, sa budú môcť nezistiteľne vkĺznuť do prevádzky stránok (MITM) na pomerne dlhú dobu, pretože doby platnosti certifikátov sa počítajú v mesiacoch a rokoch. Cloudflare môže chrániť kľúče certifikátov pomocou špeciálne kľúčové servery fungujúce na strane vlastníka lokality, ale práca v tomto režime vedie k výraznému oneskoreniu v doručovaní prevádzky, znižuje spoľahlivosť v dôsledku objavenia sa ďalšieho prepojenia a vyžaduje nasadenie komplexnej infraštruktúry.
Navrhované rozšírenie TLS Delegated Credentials zavádza ďalší prechodný súkromný kľúč, ktorého platnosť je obmedzená na hodiny alebo niekoľko dní (nie viac ako 7 dní). Tento kľúč sa generuje na základe certifikátu vydaného certifikačnou autoritou a umožňuje vám utajiť súkromný kľúč pôvodného certifikátu pred službami na doručovanie obsahu, pričom im poskytne len dočasný certifikát s krátkou životnosťou.
Aby sa predišlo problémom s prístupom po vypršaní medzikľúča, poskytuje sa technológia automatickej aktualizácie, ktorá sa vykonáva na strane pôvodného TLS servera. Generovanie nevyžaduje manuálne operácie ani spúšťanie skriptov – autorizovaný server, ktorý vyžaduje súkromný kľúč, sa pred uplynutím životnosti predchádzajúceho kľúča spojí s pôvodným TLS serverom lokality a ten vygeneruje prechodný kľúč na najbližšie krátke časové obdobie.
Prehliadače, ktoré podporujú rozšírenie TLS Delegated Credentials, budú takéto odvodené certifikáty považovať za dôveryhodné. Napríklad podpora pre uvedené rozšírenie už bola pridaná do nočných zostavení a beta verzií Firefoxu a možno ju aktivovať v about:config zmenou nastavenia „security.tls.enable_delegated_credentials“. V polovici novembra sa tiež plánuje uskutočniť experiment medzi určitým percentom používateľov testovacích verzií Firefoxu ““, v rámci ktorej bude na server Cloudflare DC odoslaná testovacia požiadavka na kontrolu kvality implementácie nového rozšírenia TLS. V knižnici je už zabudovaná aj podpora pre delegované poverenia s implementáciou TLS 1.3.
Špecifikácia Delegated Credentials bola predložená výboru IETF (Internet Engineering Task Force), ktorý je zodpovedný za vývoj internetových protokolov a architektúry a je na , ktorý tvrdí, že je internetovým štandardom. Rozšírenie Delegated Credentials je možné použiť iba s TLSv1.3.
Na generovanie medzikľúčov je potrebné získať certifikát TLS, ktorý obsahuje špeciálne rozšírenie X.509, ktoré v súčasnosti podporuje iba certifikačná autorita DigiCert.
Zdroj: opennet.ru