Shtesa e re mund të jetë gjithashtu e dobishme për faqet që funksionojnë në një infrastrukturë të madhe të shpërndarë me një numër të madh balancuesish të ngarkesës. Kredencialet e deleguara do të shmangin ruajtjen e kopjeve të çelësave privatë të certifikatave kryesore në secilën nyje të shpërndarjes së përmbajtjes. Me qasjen klasike, një sulm i suksesshëm në cilindo nga serverët e përfshirë në dërgimin e trafikut HTTPS do të çojë në kompromentimin e të gjithë certifikatës. Nëse çelësat privatë transferohen në rrjetet e shpërndarjes së përmbajtjes, ka kërcënime për rrjedhje të të dhënave si rezultat i sabotimit nga personeli, veprimeve të agjencive të inteligjencës ose komprometimit të infrastrukturës CDN.
Nëse një rrjedhje çelësi nuk zbulohet, ata që kanë fituar akses te çelësat do të jenë në gjendje të futen në mënyrë të pazbuluar në trafikun e faqes (MITM) për një kohë mjaft të gjatë, pasi periudhat e vlefshmërisë së certifikatave llogariten në muaj dhe vite. Cloudflare mund të mbrojë çelësat e certifikatës duke
Zgjatja e propozuar TLS Kredencialet e deleguara prezanton një çelës privat të ndërmjetëm shtesë, vlefshmëria e të cilit është e kufizuar në orë ose disa ditë (jo më shumë se 7 ditë). Ky çelës krijohet bazuar në një certifikatë të lëshuar nga një autoritet certifikimi dhe ju lejon të mbani sekret çelësin privat të certifikatës origjinale nga shërbimet e ofrimit të përmbajtjes, duke u ofruar atyre vetëm një certifikatë të përkohshme me një jetë të shkurtër.
Për të shmangur problemet e aksesit pasi të ketë skaduar çelësi i ndërmjetëm, ofrohet një teknologji e përditësimit automatik që kryhet në anën e serverit origjinal TLS. Gjenerimi nuk kërkon operacione manuale ose ekzekutimin e skripteve - një server i autorizuar që kërkon një çelës privat, përpara se të skadojë jetëgjatësia e çelësit të mëparshëm, kontakton serverin origjinal TLS të faqes dhe gjeneron një çelës të ndërmjetëm për periudhën e ardhshme të shkurtër kohore.
Shfletuesit që mbështesin shtesën TLS të Kredencialeve të Deleguara do t'i trajtojnë këto certifikata të derivuara si të besueshme. Për shembull, mbështetja për shtesën e specifikuar tashmë është shtuar në versionet beta të Firefox-it për çdo natë dhe mund të aktivizohet në about:config duke ndryshuar cilësimin "security.tls.enable_delegated_credentials". Në mesin e nëntorit, një eksperiment është planifikuar gjithashtu të kryhet midis një përqindje të caktuar të përdoruesve të versioneve testuese të Firefox "
Specifikimi i Kredencialeve të Deleguara i është dorëzuar komitetit IETF (Internet Engineering Task Force), i cili është përgjegjës për zhvillimin e protokolleve dhe arkitekturës së internetit, dhe ndodhet në
Për të gjeneruar çelësa të ndërmjetëm, ju duhet të merrni një certifikatë TLS që përfshin një shtesë të veçantë X.509, e cila aktualisht mbështetet vetëm nga autoriteti i certifikimit DigiCert.
Burimi: opennet.ru