ส่วนขยายใหม่อาจมีประโยชน์สำหรับไซต์ที่ทำงานบนโครงสร้างพื้นฐานแบบกระจายขนาดใหญ่ที่มีโหลดบาลานเซอร์จำนวนมาก ข้อมูลรับรองที่ได้รับมอบหมายจะหลีกเลี่ยงการจัดเก็บสำเนาคีย์ส่วนตัวของใบรับรองหลักในแต่ละโหนดการจัดส่งเนื้อหา ด้วยแนวทางแบบคลาสสิก การโจมตีเซิร์ฟเวอร์ใดๆ ที่เกี่ยวข้องกับการส่งการรับส่งข้อมูล HTTPS ที่ประสบความสำเร็จจะนำไปสู่การประนีประนอมของใบรับรองทั้งหมด หากคีย์ส่วนตัวถูกถ่ายโอนไปยังเครือข่ายการจัดส่งเนื้อหา อาจมีภัยคุกคามต่อการรั่วไหลของข้อมูลอันเป็นผลมาจากการก่อวินาศกรรมโดยบุคลากร การกระทำของหน่วยงานข่าวกรอง หรือการประนีประนอมของโครงสร้างพื้นฐาน CDN
หากตรวจไม่พบการรั่วไหลของคีย์ ผู้ที่สามารถเข้าถึงคีย์จะสามารถเข้าไปในการรับส่งข้อมูลไซต์ (MITM) โดยตรวจไม่พบได้เป็นเวลานาน เนื่องจากระยะเวลาที่มีผลบังคับใช้ของใบรับรองจะคำนวณเป็นเดือนและปี Cloudflare สามารถปกป้องคีย์ใบรับรองได้โดย
หนังสือรับรองที่ได้รับมอบสิทธิ์ส่วนขยาย TLS ที่เสนอจะแนะนำคีย์ส่วนตัวระดับกลางเพิ่มเติม ซึ่งมีอายุจำกัดอยู่ที่ชั่วโมงหรือหลายวัน (ไม่เกิน 7 วัน) คีย์นี้สร้างขึ้นตามใบรับรองที่ออกโดยหน่วยงานออกใบรับรอง และอนุญาตให้คุณเก็บคีย์ส่วนตัวของใบรับรองเดิมไว้เป็นความลับจากบริการจัดส่งเนื้อหา โดยมอบเฉพาะใบรับรองชั่วคราวที่มีอายุการใช้งานสั้นเท่านั้น
เพื่อหลีกเลี่ยงปัญหาการเข้าถึงหลังจากที่คีย์กลางหมดอายุ มีการจัดเตรียมเทคโนโลยีการอัปเดตอัตโนมัติที่ด้านข้างของเซิร์ฟเวอร์ TLS ดั้งเดิม การสร้างไม่จำเป็นต้องดำเนินการด้วยตนเองหรือเรียกใช้สคริปต์ - เซิร์ฟเวอร์ที่ได้รับอนุญาตซึ่งต้องใช้คีย์ส่วนตัว ก่อนที่คีย์ก่อนหน้าจะหมดอายุ จะติดต่อกับเซิร์ฟเวอร์ TLS ดั้งเดิมของไซต์ และสร้างคีย์ระดับกลางในช่วงเวลาสั้น ๆ ถัดไป
เบราว์เซอร์ที่รองรับส่วนขยาย Delegated Credentials TLS จะถือว่าใบรับรองที่ได้รับดังกล่าวมีความน่าเชื่อถือ ตัวอย่างเช่น มีการเพิ่มการรองรับส่วนขยายที่ระบุใน Firefox รุ่นกลางคืนและเบต้าแล้ว และสามารถเปิดใช้งานได้ใน about:config โดยการเปลี่ยนการตั้งค่า “security.tls.enable_delegated_credentials” ในช่วงกลางเดือนพฤศจิกายน มีการวางแผนการทดลองกับผู้ใช้ Firefox เวอร์ชันทดสอบจำนวนหนึ่ง “
ข้อมูลจำเพาะข้อมูลรับรองที่ได้รับมอบหมายได้ถูกส่งไปยังคณะกรรมการ IETF (Internet Engineering Task Force) ซึ่งรับผิดชอบในการพัฒนาโปรโตคอลอินเทอร์เน็ตและสถาปัตยกรรม และอยู่ที่
หากต้องการสร้างคีย์ระดับกลาง คุณต้องได้รับใบรับรอง TLS ที่มีส่วนขยาย X.509 พิเศษ ซึ่งปัจจุบันได้รับการสนับสนุนโดยหน่วยงานออกใบรับรอง DigiCert เท่านั้น
ที่มา: opennet.ru