, и கூட்டாக ஒரு புதிய TLS நீட்டிப்பை அறிவித்தது (DC), உள்ளடக்க விநியோக நெட்வொர்க்குகள் மூலம் ஒரு தளத்திற்கான அணுகலை ஒழுங்கமைக்கும்போது சான்றிதழ்களில் உள்ள சிக்கலைத் தீர்ப்பது. சான்றிதழ் அதிகாரிகளால் வழங்கப்பட்ட சான்றிதழ்கள் நீண்ட செல்லுபடியாகும் காலத்தைக் கொண்டுள்ளன, இது மூன்றாம் தரப்பு சேவையின் மூலம் ஒரு தளத்திற்கான அணுகலை ஒழுங்கமைக்க வேண்டியிருக்கும் போது சிரமங்களை உருவாக்குகிறது, அதன் சார்பாக ஒரு பாதுகாப்பான இணைப்பு நிறுவப்பட வேண்டும், தளத்தின் சான்றிதழை வெளிப்புறத்திற்கு மாற்றுவது. சேவை கூடுதல் பாதுகாப்பு அச்சுறுத்தல்களை உருவாக்குகிறது.
அதிக எண்ணிக்கையிலான லோட் பேலன்சர்களைக் கொண்ட பெரிய விநியோகிக்கப்பட்ட உள்கட்டமைப்பில் செயல்படும் தளங்களுக்கும் புதிய நீட்டிப்பு பயனுள்ளதாக இருக்கும். ஒவ்வொரு உள்ளடக்க டெலிவரி முனையிலும் முக்கிய சான்றிதழ்களின் தனிப்பட்ட விசைகளின் நகல்களைச் சேமிப்பதை பிரதிநிதித்துவ நற்சான்றிதழ்கள் தவிர்க்கும். கிளாசிக் அணுகுமுறையுடன், HTTPS ட்ராஃபிக்கை அனுப்புவதில் ஈடுபட்டுள்ள எந்தவொரு சேவையகத்தின் மீதும் வெற்றிகரமான தாக்குதல் முழு சான்றிதழையும் சமரசத்திற்கு வழிவகுக்கும். தனிப்பட்ட விசைகள் உள்ளடக்க விநியோக நெட்வொர்க்குகளுக்கு மாற்றப்பட்டால், பணியாளர்களின் நாசவேலை, உளவுத்துறை அமைப்புகளின் நடவடிக்கைகள் அல்லது CDN உள்கட்டமைப்பில் சமரசம் ஆகியவற்றின் விளைவாக தரவு கசிவு அச்சுறுத்தல்கள் உள்ளன.
ஒரு முக்கிய கசிவு கண்டறியப்படாமல் போனால், சாவிகளை அணுகியவர்கள், சான்றிதழ்களின் செல்லுபடியாகும் காலங்கள் மாதங்கள் மற்றும் ஆண்டுகளில் கணக்கிடப்படுவதால், நீண்ட காலத்திற்கு தள போக்குவரத்தில் (MITM) தங்களைக் கண்டறிய முடியாமல் ஆப்பு வைத்துக்கொள்ள முடியும். Cloudflare சான்றிதழ் விசைகளை பாதுகாக்க முடியும் தள உரிமையாளரின் பக்கத்தில் இயங்கும் சிறப்பு விசை சேவையகங்கள், ஆனால் இந்த பயன்முறையில் பணிபுரிவது போக்குவரத்து விநியோகத்தில் குறிப்பிடத்தக்க தாமதத்திற்கு வழிவகுக்கிறது, கூடுதல் இணைப்பின் தோற்றத்தின் காரணமாக நம்பகத்தன்மையைக் குறைக்கிறது மற்றும் சிக்கலான உள்கட்டமைப்பின் வரிசைப்படுத்தல் தேவைப்படுகிறது.
முன்மொழியப்பட்ட TLS நீட்டிப்பு பிரதிநிதித்துவ நற்சான்றிதழ்கள் கூடுதல் இடைநிலை தனிப்பட்ட விசையை அறிமுகப்படுத்துகிறது, இதன் செல்லுபடியாகும் நேரம் மணிநேரம் அல்லது பல நாட்களுக்கு (7 நாட்களுக்கு மேல் இல்லை). இந்த விசை ஒரு சான்றிதழ் ஆணையத்தால் வழங்கப்பட்ட சான்றிதழின் அடிப்படையில் உருவாக்கப்படுகிறது மற்றும் அசல் சான்றிதழின் தனிப்பட்ட விசையை உள்ளடக்க விநியோக சேவைகளிலிருந்து ரகசியமாக வைத்திருக்க உங்களை அனுமதிக்கிறது, குறுகிய வாழ்நாளில் தற்காலிக சான்றிதழை மட்டுமே அவர்களுக்கு வழங்குகிறது.
இடைநிலை விசை காலாவதியான பிறகு அணுகல் சிக்கல்களைத் தவிர்ப்பதற்காக, அசல் TLS சேவையகத்தின் பக்கத்தில் ஒரு தானியங்கி புதுப்பிப்பு தொழில்நுட்பம் வழங்கப்படுகிறது. தலைமுறைக்கு கையேடு செயல்பாடுகள் அல்லது இயங்கும் ஸ்கிரிப்டுகள் தேவையில்லை - ஒரு தனிப்பட்ட விசை தேவைப்படும் அங்கீகரிக்கப்பட்ட சேவையகம், முந்தைய விசையின் ஆயுட்காலம் காலாவதியாகும் முன், தளத்தின் அசல் TLS சேவையகத்தைத் தொடர்புகொண்டு, அது அடுத்த குறுகிய காலத்திற்கு இடைநிலை விசையை உருவாக்குகிறது.
பிரதிநிதித்துவ நற்சான்றிதழ்கள் TLS நீட்டிப்பை ஆதரிக்கும் உலாவிகள் அத்தகைய பெறப்பட்ட சான்றிதழ்களை நம்பகமானதாகக் கருதும். எடுத்துக்காட்டாக, குறிப்பிட்ட நீட்டிப்புக்கான ஆதரவு ஏற்கனவே Firefox இன் நைட்லி பில்ட்கள் மற்றும் பீட்டா பதிப்புகளில் சேர்க்கப்பட்டுள்ளது மேலும் "security.tls.enable_delegated_credentials" அமைப்பை மாற்றுவதன் மூலம் about:config இல் செயல்படுத்தலாம். நவம்பர் நடுப்பகுதியில், பயர்பாக்ஸின் சோதனை பதிப்புகளின் குறிப்பிட்ட சதவீத பயனர்களிடையே ஒரு சோதனை நடத்த திட்டமிடப்பட்டுள்ளது.“, புதிய TLS நீட்டிப்பைச் செயல்படுத்துவதற்கான தரத்தை சரிபார்க்க Cloudflare DC சேவையகத்திற்கு சோதனைக் கோரிக்கை அனுப்பப்படும். வழங்கப்பட்ட நற்சான்றிதழ்களுக்கான ஆதரவு ஏற்கனவே நூலகத்தில் கட்டமைக்கப்பட்டுள்ளது TLS 1.3 செயல்படுத்தலுடன்.
பிரதிநிதித்துவ நற்சான்றிதழ்கள் விவரக்குறிப்பு IETF (இன்டர்நெட் இன்ஜினியரிங் டாஸ்க் ஃபோர்ஸ்) குழுவிடம் சமர்ப்பிக்கப்பட்டுள்ளது, இது இணைய நெறிமுறைகள் மற்றும் கட்டிடக்கலையின் வளர்ச்சிக்கு பொறுப்பாகும். , இது இணையத் தரநிலை எனக் கூறுகிறது. பிரதிநிதித்துவ நற்சான்றிதழ்கள் நீட்டிப்பை TLSv1.3 உடன் மட்டுமே பயன்படுத்த முடியும்.
இடைநிலை விசைகளை உருவாக்க, நீங்கள் ஒரு சிறப்பு X.509 நீட்டிப்பை உள்ளடக்கிய TLS சான்றிதழைப் பெற வேண்டும், இது தற்போது DigiCert சான்றிதழ் ஆணையத்தால் மட்டுமே ஆதரிக்கப்படுகிறது.
ஆதாரம்: opennet.ru