, ΠΈ kwa pamoja walitangaza nyongeza mpya ya TLS (DC), kutatua tatizo na vyeti wakati wa kuandaa ufikiaji wa tovuti kupitia mitandao ya uwasilishaji wa maudhui. Vyeti vinavyotolewa na mamlaka ya uthibitisho vina muda mrefu wa uhalali, ambayo huleta matatizo wakati ni muhimu kuandaa upatikanaji wa tovuti kupitia huduma ya tatu, kwa niaba ambayo uunganisho salama unapaswa kuanzishwa, tangu kuhamisha cheti cha tovuti kwa nje. huduma huunda vitisho vya ziada vya usalama.
Ugani mpya unaweza pia kuwa muhimu kwa tovuti zinazofanya kazi kwenye miundombinu kubwa iliyosambazwa yenye idadi kubwa ya visawazishaji vya mizigo. Vitambulisho Vilivyokabidhiwa vitaepuka kuhifadhi nakala za funguo za faragha za vyeti kuu kwenye kila nodi ya uwasilishaji wa maudhui. Kwa mbinu ya kawaida, shambulio la mafanikio kwa seva yoyote inayohusika katika kutuma trafiki ya HTTPS itasababisha maelewano ya cheti chote. Ikiwa funguo za faragha zitahamishiwa kwenye mitandao ya uwasilishaji wa maudhui, kuna vitisho vya kuvuja kwa data kutokana na uharibifu wa wafanyakazi, vitendo vya mashirika ya kijasusi au kuathiriwa kwa miundombinu ya CDN.
Ikiwa uvujaji wa ufunguo hautatambuliwa, wale ambao wamepata ufikiaji wa funguo wataweza kujiweka kwenye trafiki ya tovuti (MITM) kwa muda mrefu sana, kwa kuwa muda wa uhalali wa vyeti huhesabiwa kwa miezi na miaka. Cloudflare inaweza kulinda funguo za cheti kwa seva maalum muhimu zinazofanya kazi kwa upande wa mmiliki wa tovuti, lakini kufanya kazi katika hali hii husababisha ucheleweshaji mkubwa katika utoaji wa trafiki, hupunguza kuegemea kutokana na kuonekana kwa kiungo cha ziada na inahitaji kupelekwa kwa miundombinu tata.
Kiendelezi kilichopendekezwa cha TLS Kitambulisho Kilichokabidhiwa huleta ufunguo wa ziada wa kati wa faragha, ambao uhalali wake ni saa chache au siku kadhaa (sio zaidi ya siku 7). Ufunguo huu unatolewa kulingana na cheti kilichotolewa na mamlaka ya uidhinishaji na hukuruhusu kuweka ufunguo wa faragha wa cheti asilia kuwa siri kutoka kwa huduma za uwasilishaji wa maudhui, ukiwapa cheti cha muda tu cha maisha mafupi.
Ili kuzuia matatizo ya ufikiaji baada ya muda wa ufunguo wa kati kuisha, teknolojia ya kusasisha kiotomatiki hutolewa ambayo inafanywa kwa upande wa seva asili ya TLS. Kizazi hakihitaji utendakazi wa mikono au hati zinazoendesha - seva iliyoidhinishwa ambayo inahitaji ufunguo wa faragha, kabla ya muda wa ufunguo wa awali kuisha, huwasiliana na seva asili ya TLS ya tovuti na huzalisha ufunguo wa kati kwa kipindi kifupi kijacho.
Vivinjari vinavyotumia Kiendelezi cha Vitambulisho Vilivyokaushwa vitachukulia vyeti vilivyotolewa kuwa vya kuaminika. Kwa mfano, uwezo wa kutumia kiendelezi kilichobainishwa tayari umeongezwa kwa matoleo ya kila usiku na matoleo ya beta ya Firefox na inaweza kuwashwa katika about:config kwa kubadilisha mpangilio wa "security.tls.enable_delegated_credentials". Katikati ya Novemba, jaribio pia limepangwa kufanywa kati ya asilimia fulani ya watumiaji wa matoleo ya majaribio ya Firefox "", ambapo ombi la jaribio litatumwa kwa seva ya Cloudflare DC ili kuangalia ubora wa utekelezaji wa kiendelezi kipya cha TLS. Usaidizi wa Kitambulisho Ulichokabidhiwa pia tayari umeundwa kwenye maktaba na utekelezaji wa TLS 1.3.
Uainishaji wa Hati za Utambulisho umewasilishwa kwa kamati ya IETF (Kikosi Kazi cha Uhandisi wa Mtandao), ambayo ina jukumu la kuunda itifaki na usanifu wa mtandao, na iko katika , ambayo inadai kuwa kiwango cha mtandao. Kiendelezi cha Kitambulisho Ulichokabidhiwa kinaweza kutumika tu na TLSv1.3.
Ili kuzalisha funguo za kati, unahitaji kupata cheti cha TLS ambacho kinajumuisha kiendelezi maalum cha X.509, ambacho kwa sasa kinatumika tu na mamlaka ya uthibitishaji ya DigiCert.
Chanzo: opennet.ru