, и babarengan ngumumkeun extension TLS anyar (DC), ngarengsekeun masalah sareng sertipikat nalika ngatur aksés ka situs ngaliwatan jaringan pangiriman eusi. Sertipikat anu dikaluarkeun ku otoritas sertifikasi gaduh periode validitas anu panjang, anu nyiptakeun kasusah nalika perlu pikeun ngatur aksés ka situs ngalangkungan jasa pihak katilu, atas nama sambungan anu aman kedah didamel, ti saprak mindahkeun sertipikat situs ka luar. jasa nyiptakeun ancaman kaamanan tambahan.
The extension anyar ogé bisa jadi mangpaat pikeun situs nu beroperasi dina infrastruktur disebarkeun badag kalayan angka nu gede ngarupakeun balancers beban. Kapercayaan anu didelegasikeun bakal nyegah nyimpen salinan konci pribadi tina sertipikat utama dina unggal titik pangiriman eusi. Kalayan pendekatan klasik, serangan anu suksés dina salah sahiji server anu kalibet dina ngirim lalu lintas HTTPS bakal ngakibatkeun kompromi sadaya sertipikat. Upami konci pribadi ditransfer ka jaringan pangiriman eusi, aya ancaman bocor data salaku hasil tina sabotase ku tanaga, tindakan agénsi intelijen, atanapi kompromi infrastruktur CDN.
Upami bocor konci teu kadeteksi, jalma anu ngagaduhan aksés kana konci bakal tiasa ngaganjel sacara teu kadeteksi kana lalu lintas situs (MITM) kanggo waktos anu lami, sabab periode validitas sertipikat diitung dina sababaraha bulan sareng taun. Cloudflare tiasa ngajaga konci sertipikat ku server konci husus operasi di sisi nu boga situs, tapi gawe dina modeu ieu ngakibatkeun Nepi signifikan dina pangiriman lalulintas, ngurangan reliabiliti alatan penampilan link tambahan sarta merlukeun deployment infrastruktur kompléks.
Ekstensi TLS Delegated Credentials anu diusulkeun ngenalkeun konci swasta tambahan perantara, validitasna dugi ka sababaraha jam atanapi sababaraha dinten (henteu langkung ti 7 dinten). Konci ieu dibangkitkeun dumasar kana sertipikat anu dikaluarkeun ku otoritas sertipikasi sareng ngamungkinkeun anjeun pikeun ngajaga konci pribadi tina sertipikat asli rusiah tina jasa pangiriman eusi, ngan ukur masihan aranjeunna sertipikat samentawis umurna pondok.
Dina raraga ngahindarkeun masalah aksés sanggeus konci panengah geus kadaluwarsa, hiji téhnologi update otomatis disadiakeun anu dipigawé di sisi server TLS aslina. Generasi teu merlukeun operasi manual atawa ngajalankeun skrip - hiji server otorisasi anu merlukeun konci swasta, saméméh umur konci saméméhna kadaluwarsa, ngahubungan server TLS aslina loka sarta eta ngahasilkeun konci panengah pikeun periode pondok salajengna.
Panyungsi anu ngadukung ekstensi TLS Kapercayaan Delegasi bakal ngarawat sertipikat turunan sapertos anu tiasa dipercaya. Contona, pangrojong pikeun extension nu tangtu geus ditambahkeun kana nightly ngawangun jeung versi béta Firefox sarta bisa diaktipkeun dina ngeunaan: config ku cara ngarobah setelan "security.tls.enable_delegated_credentials". Dina pertengahan Nopémber, ékspérimén ogé direncanakeun bakal dilakukeun diantara perséntase tangtu pangguna versi uji Firefox "", di mana hiji pamundut test bakal dikirim ka server Cloudflare DC pikeun pariksa kualitas palaksanaan extension TLS anyar. Rojongan pikeun Kapercayaan Delegasi ogé parantos diwangun kana perpustakaan kalawan TLS 1.3 palaksanaan.
Spésifikasi Delegated Credentials parantos dikintunkeun ka panitia IETF (Internet Engineering Task Force), anu tanggung jawab pikeun ngembangkeun protokol sareng arsitéktur Internét, sareng aya di , nu ngaku standar Internet. Ekstensi Delegated Credentials ngan tiasa dianggo sareng TLSv1.3.
Pikeun ngahasilkeun konci panengah, Anjeun kudu ménta sertipikat TLS nu ngawengku extension X.509 husus, nu ayeuna ngan dirojong ku otoritas sertifikasi DigiCert.
sumber: opennet.ru