, и заједнички најавили ново проширење ТЛС-а (ДЦ), решавање проблема са сертификатима приликом организовања приступа сајту преко мрежа за испоруку садржаја. Сертификати које издају сертификациони органи имају дуг период важења, што ствара потешкоће када је потребно организовати приступ сајту преко сервиса треће стране, за чије име се мора успоставити безбедна веза, пошто се сертификат сајта преноси на спољни сервис ствара додатне безбедносне претње.
Ново проширење такође може бити корисно за локације које раде на великој дистрибуираној инфраструктури са великим бројем балансера оптерећења. Делегирани акредитиви ће избећи чување копија приватних кључева главних сертификата на сваком чвору за испоруку садржаја. Са класичним приступом, успешан напад на било који од сервера укључених у слање ХТТПС саобраћаја ће довести до компромитовања целог сертификата. Ако се приватни кључеви пренесу на мреже за испоруку садржаја, постоје претње од цурења података као последица саботаже од стране особља, акција обавештајних агенција или компромитовања ЦДН инфраструктуре.
Ако цурење кључа остане неоткривено, они који су добили приступ кључевима моћи ће неприметно да се углаве у саобраћај на сајту (МИТМ) прилично дуго, пошто се периоди важења сертификата рачунају у месецима и годинама. Цлоудфларе може заштитити кључеве сертификата специјални кључни сервери који раде на страни власника сајта, али рад у овом режиму доводи до значајних кашњења у испоруци саобраћаја, смањује поузданост због појаве додатне везе и захтева постављање сложене инфраструктуре.
Предложено ТЛС проширење Делегирани акредитиви уводи додатни посредни приватни кључ, чија је важност ограничена на сате или неколико дана (не више од 7 дана). Овај кључ се генерише на основу сертификата који је издао ауторитет за сертификацију и омогућава вам да чувате приватни кључ оригиналног сертификата у тајности од услуга за испоруку садржаја, пружајући им само привремени сертификат са кратким веком трајања.
Да би се избегли проблеми са приступом након што је посредни кључ истекао, обезбеђена је технологија аутоматског ажурирања која се изводи на страни оригиналног ТЛС сервера. Генерисање не захтева ручне операције или покретање скрипти - овлашћени сервер који захтева приватни кључ, пре него што истекне животни век претходног кључа, контактира оригинални ТЛС сервер сајта и генерише међукључ за следећи кратак временски период.
Прегледачи који подржавају ТЛС екстензију Делегатед Цредентиалс третираће такве изведене сертификате као поуздане. На пример, подршка за наведено проширење је већ додата ноћним верзијама и бета верзијама Фирефок-а и може се активирати у абоут:цонфиг променом подешавања „сецурити.тлс.енабле_делегатед_цредентиалс“. Средином новембра такође је планирано да се спроведе експеримент међу одређеним процентом корисника тестних верзија Фајерфокса ““, у оквиру којег ће Цлоудфларе ДЦ серверу бити послат тестни захтев за проверу квалитета имплементације нове ТЛС екстензије. Подршка за делегиране акредитиве је такође већ уграђена у библиотеку са имплементацијом ТЛС 1.3.
Спецификација делегираних акредитива је достављена ИЕТФ (Интернет Енгинееринг Таск Форце) комитету, који је одговоран за развој интернет протокола и архитектуре, и налази се на , који тврди да је Интернет стандард. Екстензија делегираних акредитива може се користити само са ТЛСв1.3.
Да бисте генерисали међукључеве, потребно је да добијете ТЛС сертификат који укључује посебну екстензију Кс.509, коју тренутно подржава само ДигиЦерт сертификациони ауторитет.
Извор: опеннет.ру