โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > Mozilla, Cloudflare และ Facebook เปิดตัวส่วนขยาย TLS สำหรับการมอบหมายใบรับรองอายุสั้น

Mozilla, Cloudflare และ Facebook เปิดตัวส่วนขยาย TLS สำหรับการมอบหมายใบรับรองอายุสั้น

Mozilla, Cloudflare и Facebook ร่วมกันประกาศขยาย TLS ใหม่ มอบสิทธิ์มอบอำนาจ (DC) แก้ไขปัญหาด้วยใบรับรองเมื่อจัดระเบียบการเข้าถึงไซต์ผ่านเครือข่ายการจัดส่งเนื้อหา ใบรับรองที่ออกโดยหน่วยงานออกใบรับรองมีอายุการใช้งานยาวนาน ซึ่งสร้างปัญหาเมื่อจำเป็นต้องจัดระเบียบการเข้าถึงไซต์ผ่านบริการของบุคคลที่สาม ในนามของการเชื่อมต่อที่ปลอดภัยจะต้องถูกสร้างขึ้น นับตั้งแต่ถ่ายโอนใบรับรองของไซต์ไปยังภายนอก บริการสร้างภัยคุกคามความปลอดภัยเพิ่มเติม

ส่วนขยายใหม่อาจมีประโยชน์สำหรับไซต์ที่ทำงานบนโครงสร้างพื้นฐานแบบกระจายขนาดใหญ่ที่มีโหลดบาลานเซอร์จำนวนมาก ข้อมูลรับรองที่ได้รับมอบหมายจะหลีกเลี่ยงการจัดเก็บสำเนาคีย์ส่วนตัวของใบรับรองหลักในแต่ละโหนดการจัดส่งเนื้อหา ด้วยแนวทางแบบคลาสสิก การโจมตีเซิร์ฟเวอร์ใดๆ ที่เกี่ยวข้องกับการส่งการรับส่งข้อมูล HTTPS ที่ประสบความสำเร็จจะนำไปสู่การประนีประนอมของใบรับรองทั้งหมด หากคีย์ส่วนตัวถูกถ่ายโอนไปยังเครือข่ายการจัดส่งเนื้อหา อาจมีภัยคุกคามต่อการรั่วไหลของข้อมูลอันเป็นผลมาจากการก่อวินาศกรรมโดยบุคลากร การกระทำของหน่วยงานข่าวกรอง หรือการประนีประนอมของโครงสร้างพื้นฐาน CDN

หากตรวจไม่พบการรั่วไหลของคีย์ ผู้ที่สามารถเข้าถึงคีย์จะสามารถเข้าไปในการรับส่งข้อมูลไซต์ (MITM) โดยตรวจไม่พบได้เป็นเวลานาน เนื่องจากระยะเวลาที่มีผลบังคับใช้ของใบรับรองจะคำนวณเป็นเดือนและปี Cloudflare สามารถปกป้องคีย์ใบรับรองได้โดย นำมาใช้ คีย์เซิร์ฟเวอร์พิเศษที่ทำงานโดยเจ้าของไซต์ แต่การทำงานในโหมดนี้ทำให้เกิดความล่าช้าอย่างมากในการส่งมอบการรับส่งข้อมูล ลดความน่าเชื่อถือเนื่องจากมีลักษณะเป็นลิงก์เพิ่มเติม และต้องมีการปรับใช้โครงสร้างพื้นฐานที่ซับซ้อน

หนังสือรับรองที่ได้รับมอบสิทธิ์ส่วนขยาย TLS ที่เสนอจะแนะนำคีย์ส่วนตัวระดับกลางเพิ่มเติม ซึ่งมีอายุจำกัดอยู่ที่ชั่วโมงหรือหลายวัน (ไม่เกิน 7 วัน) คีย์นี้สร้างขึ้นตามใบรับรองที่ออกโดยหน่วยงานออกใบรับรอง และอนุญาตให้คุณเก็บคีย์ส่วนตัวของใบรับรองเดิมไว้เป็นความลับจากบริการจัดส่งเนื้อหา โดยมอบเฉพาะใบรับรองชั่วคราวที่มีอายุการใช้งานสั้นเท่านั้น

Mozilla, Cloudflare และ Facebook เปิดตัวส่วนขยาย TLS สำหรับการมอบหมายใบรับรองอายุสั้น

เพื่อหลีกเลี่ยงปัญหาการเข้าถึงหลังจากที่คีย์กลางหมดอายุ มีการจัดเตรียมเทคโนโลยีการอัปเดตอัตโนมัติที่ด้านข้างของเซิร์ฟเวอร์ TLS ดั้งเดิม การสร้างไม่จำเป็นต้องดำเนินการด้วยตนเองหรือเรียกใช้สคริปต์ - เซิร์ฟเวอร์ที่ได้รับอนุญาตซึ่งต้องใช้คีย์ส่วนตัว ก่อนที่คีย์ก่อนหน้าจะหมดอายุ จะติดต่อกับเซิร์ฟเวอร์ TLS ดั้งเดิมของไซต์ และสร้างคีย์ระดับกลางในช่วงเวลาสั้น ๆ ถัดไป

Mozilla, Cloudflare และ Facebook เปิดตัวส่วนขยาย TLS สำหรับการมอบหมายใบรับรองอายุสั้น

เบราว์เซอร์ที่รองรับส่วนขยาย Delegated Credentials TLS จะถือว่าใบรับรองที่ได้รับดังกล่าวมีความน่าเชื่อถือ ตัวอย่างเช่น มีการเพิ่มการรองรับส่วนขยายที่ระบุใน Firefox รุ่นกลางคืนและเบต้าแล้ว และสามารถเปิดใช้งานได้ใน about:config โดยการเปลี่ยนการตั้งค่า “security.tls.enable_delegated_credentials” ในช่วงกลางเดือนพฤศจิกายน มีการวางแผนการทดลองกับผู้ใช้ Firefox เวอร์ชันทดสอบจำนวนหนึ่ง “การทดสอบข้อมูลรับรองที่ได้รับมอบหมายจาก TLS“ ซึ่งภายในคำขอทดสอบจะถูกส่งไปยังเซิร์ฟเวอร์ Cloudflare DC เพื่อตรวจสอบคุณภาพของการใช้งานส่วนขยาย TLS ใหม่ การสนับสนุน Delegated Credentials มีอยู่แล้วในไลบรารี เดือดเป็นฟอง ด้วยการใช้งาน TLS 1.3

ข้อมูลจำเพาะข้อมูลรับรองที่ได้รับมอบหมายได้ถูกส่งไปยังคณะกรรมการ IETF (Internet Engineering Task Force) ซึ่งรับผิดชอบในการพัฒนาโปรโตคอลอินเทอร์เน็ตและสถาปัตยกรรม และอยู่ที่ ร่างซึ่งอ้างว่าเป็นมาตรฐานอินเทอร์เน็ต ส่วนขยาย Delegated Credentials สามารถใช้ได้กับ TLSv1.3 เท่านั้น
หากต้องการสร้างคีย์ระดับกลาง คุณต้องได้รับใบรับรอง TLS ที่มีส่วนขยาย X.509 พิเศษ ซึ่งปัจจุบันได้รับการสนับสนุนโดยหน่วยงานออกใบรับรอง DigiCert เท่านั้น

ที่มา: opennet.ru

เพิ่มความคิดเห็น