The extension anyar ogé bisa jadi mangpaat pikeun situs nu beroperasi dina infrastruktur disebarkeun badag kalayan angka nu gede ngarupakeun balancers beban. Kapercayaan anu didelegasikeun bakal nyegah nyimpen salinan konci pribadi tina sertipikat utama dina unggal titik pangiriman eusi. Kalayan pendekatan klasik, serangan anu suksés dina salah sahiji server anu kalibet dina ngirim lalu lintas HTTPS bakal ngakibatkeun kompromi sadaya sertipikat. Upami konci pribadi ditransfer ka jaringan pangiriman eusi, aya ancaman bocor data salaku hasil tina sabotase ku tanaga, tindakan agénsi intelijen, atanapi kompromi infrastruktur CDN.
Upami bocor konci teu kadeteksi, jalma anu ngagaduhan aksés kana konci bakal tiasa ngaganjel sacara teu kadeteksi kana lalu lintas situs (MITM) kanggo waktos anu lami, sabab periode validitas sertipikat diitung dina sababaraha bulan sareng taun. Cloudflare tiasa ngajaga konci sertipikat ku
Ekstensi TLS Delegated Credentials anu diusulkeun ngenalkeun konci swasta tambahan perantara, validitasna dugi ka sababaraha jam atanapi sababaraha dinten (henteu langkung ti 7 dinten). Konci ieu dibangkitkeun dumasar kana sertipikat anu dikaluarkeun ku otoritas sertipikasi sareng ngamungkinkeun anjeun pikeun ngajaga konci pribadi tina sertipikat asli rusiah tina jasa pangiriman eusi, ngan ukur masihan aranjeunna sertipikat samentawis umurna pondok.
Dina raraga ngahindarkeun masalah aksés sanggeus konci panengah geus kadaluwarsa, hiji téhnologi update otomatis disadiakeun anu dipigawé di sisi server TLS aslina. Generasi teu merlukeun operasi manual atawa ngajalankeun skrip - hiji server otorisasi anu merlukeun konci swasta, saméméh umur konci saméméhna kadaluwarsa, ngahubungan server TLS aslina loka sarta eta ngahasilkeun konci panengah pikeun periode pondok salajengna.
Panyungsi anu ngadukung ekstensi TLS Kapercayaan Delegasi bakal ngarawat sertipikat turunan sapertos anu tiasa dipercaya. Contona, pangrojong pikeun extension nu tangtu geus ditambahkeun kana nightly ngawangun jeung versi béta Firefox sarta bisa diaktipkeun dina ngeunaan: config ku cara ngarobah setelan "security.tls.enable_delegated_credentials". Dina pertengahan Nopémber, ékspérimén ogé direncanakeun bakal dilakukeun diantara perséntase tangtu pangguna versi uji Firefox "
Spésifikasi Delegated Credentials parantos dikintunkeun ka panitia IETF (Internet Engineering Task Force), anu tanggung jawab pikeun ngembangkeun protokol sareng arsitéktur Internét, sareng aya di
Pikeun ngahasilkeun konci panengah, Anjeun kudu ménta sertipikat TLS nu ngawengku extension X.509 husus, nu ayeuna ngan dirojong ku otoritas sertifikasi DigiCert.
sumber: opennet.ru