, и njoftuan së bashku një zgjatje të re TLS (DC), zgjidhja e problemit me certifikatat kur organizohet aksesi në një faqe përmes rrjeteve të ofrimit të përmbajtjes. Certifikatat e lëshuara nga autoritetet e certifikimit kanë një periudhë të gjatë vlefshmërie, gjë që krijon vështirësi kur është e nevojshme të organizohet aksesi në një vend nëpërmjet një shërbimi të palës së tretë, në emër të të cilit duhet të krijohet një lidhje e sigurt, që nga transferimi i certifikatës së sitit në një vend të jashtëm. shërbimi krijon kërcënime shtesë të sigurisë.
Shtesa e re mund të jetë gjithashtu e dobishme për faqet që funksionojnë në një infrastrukturë të madhe të shpërndarë me një numër të madh balancuesish të ngarkesës. Kredencialet e deleguara do të shmangin ruajtjen e kopjeve të çelësave privatë të certifikatave kryesore në secilën nyje të shpërndarjes së përmbajtjes. Me qasjen klasike, një sulm i suksesshëm në cilindo nga serverët e përfshirë në dërgimin e trafikut HTTPS do të çojë në kompromentimin e të gjithë certifikatës. Nëse çelësat privatë transferohen në rrjetet e shpërndarjes së përmbajtjes, ka kërcënime për rrjedhje të të dhënave si rezultat i sabotimit nga personeli, veprimeve të agjencive të inteligjencës ose komprometimit të infrastrukturës CDN.
Nëse një rrjedhje çelësi nuk zbulohet, ata që kanë fituar akses te çelësat do të jenë në gjendje të futen në mënyrë të pazbuluar në trafikun e faqes (MITM) për një kohë mjaft të gjatë, pasi periudhat e vlefshmërisë së certifikatave llogariten në muaj dhe vite. Cloudflare mund të mbrojë çelësat e certifikatës duke serverë të veçantë kyç që funksionojnë në anën e pronarit të faqes, por puna në këtë mënyrë çon në vonesa të konsiderueshme në shpërndarjen e trafikut, zvogëlon besueshmërinë për shkak të shfaqjes së një lidhjeje shtesë dhe kërkon vendosjen e infrastrukturës komplekse.
Zgjatja e propozuar TLS Kredencialet e deleguara prezanton një çelës privat të ndërmjetëm shtesë, vlefshmëria e të cilit është e kufizuar në orë ose disa ditë (jo më shumë se 7 ditë). Ky çelës krijohet bazuar në një certifikatë të lëshuar nga një autoritet certifikimi dhe ju lejon të mbani sekret çelësin privat të certifikatës origjinale nga shërbimet e ofrimit të përmbajtjes, duke u ofruar atyre vetëm një certifikatë të përkohshme me një jetë të shkurtër.
Për të shmangur problemet e aksesit pasi të ketë skaduar çelësi i ndërmjetëm, ofrohet një teknologji e përditësimit automatik që kryhet në anën e serverit origjinal TLS. Gjenerimi nuk kërkon operacione manuale ose ekzekutimin e skripteve - një server i autorizuar që kërkon një çelës privat, përpara se të skadojë jetëgjatësia e çelësit të mëparshëm, kontakton serverin origjinal TLS të faqes dhe gjeneron një çelës të ndërmjetëm për periudhën e ardhshme të shkurtër kohore.
Shfletuesit që mbështesin shtesën TLS të Kredencialeve të Deleguara do t'i trajtojnë këto certifikata të derivuara si të besueshme. Për shembull, mbështetja për shtesën e specifikuar tashmë është shtuar në versionet beta të Firefox-it për çdo natë dhe mund të aktivizohet në about:config duke ndryshuar cilësimin "security.tls.enable_delegated_credentials". Në mesin e nëntorit, një eksperiment është planifikuar gjithashtu të kryhet midis një përqindje të caktuar të përdoruesve të versioneve testuese të Firefox "“, brenda së cilës një kërkesë testimi do të dërgohet në serverin Cloudflare DC për të kontrolluar cilësinë e zbatimit të shtesës së re TLS. Mbështetja për Kredencialet e Deleguara është gjithashtu e integruar tashmë në bibliotekë me zbatimin e TLS 1.3.
Specifikimi i Kredencialeve të Deleguara i është dorëzuar komitetit IETF (Internet Engineering Task Force), i cili është përgjegjës për zhvillimin e protokolleve dhe arkitekturës së internetit, dhe ndodhet në , i cili pretendon të jetë një standard interneti. Zgjerimi i Kredencialeve të Deleguara mund të përdoret vetëm me TLSv1.3.
Për të gjeneruar çelësa të ndërmjetëm, ju duhet të merrni një certifikatë TLS që përfshin një shtesë të veçantë X.509, e cila aktualisht mbështetet vetëm nga autoriteti i certifikimit DigiCert.
Burimi: opennet.ru