, и magkasamang inanunsyo ang isang bagong extension ng TLS (DC), na siyang lumulutas sa problema sa mga sertipiko kapag nag-a-access ng website sa pamamagitan ng mga network ng paghahatid ng nilalaman. Ang mga sertipikong inisyu ng mga awtoridad sa sertipikasyon ay may mahahabang panahon ng bisa, na lumilikha ng mga kahirapan kapag nag-a-access ng website sa pamamagitan ng isang serbisyo ng ikatlong partido na dapat magtatag ng isang ligtas na koneksyon, dahil ang pagpapadala ng sertipiko ng website sa isang panlabas na serbisyo ay lumilikha ng mga karagdagang banta sa seguridad.
Ang bagong extension ay maaari ring maging kapaki-pakinabang para sa mga website na sinusuportahan ng isang malaking distributed infrastructure na may maraming load balancer. Inaalis ng Delegated Credentials ang pangangailangang mag-imbak ng mga kopya ng mga private key ng mga pangunahing certificate sa bawat content serving node. Gamit ang tradisyonal na pamamaraan, ang isang matagumpay na pag-atake sa anumang server na nagseserbisyo ng HTTPS traffic ay makakaapekto sa buong certificate. Ang pagbabahagi ng mga private key sa mga content delivery network ay nagdudulot ng mga panganib ng pagtagas ng data dahil sa pagsabotahe ng mga kawani, mga ahensya ng paniktik, o pagkompromiso sa CDN infrastructure.
Kung hindi matukoy ang isang key leak, sinumang makakakuha ng access sa mga key ay maaaring hindi matukoy na makagambala sa trapiko ng website sa loob ng mahabang panahon (MITM), dahil ang mga sertipiko ay mag-e-expire sa loob ng ilang buwan o taon. Mapoprotektahan ng Cloudflare ang mga key ng sertipiko. Ang mga espesyal na pangunahing server na tumatakbo sa panig ng may-ari ng site, ngunit tumatakbo sa mode na ito ay nagreresulta sa mga makabuluhang pagkaantala sa paghahatid ng trapiko, binabawasan ang pagiging maaasahan dahil sa pagdaragdag ng isang karagdagang link, at nangangailangan ng pag-deploy ng isang kumplikadong imprastraktura.
Ang iminungkahing extension ng Delegated Credentials TLS ay nagpapakilala ng karagdagang intermediate private key, na ang bisa ay limitado sa ilang oras o ilang araw (hanggang 7 araw). Ang key na ito ay nabubuo batay sa sertipikong inisyu ng CA at nagpapahintulot sa pribadong key ng orihinal na sertipiko na manatiling lihim mula sa mga serbisyo sa paghahatid ng nilalaman, na nagbibigay lamang sa kanila ng pansamantalang sertipiko na may maikling lifetime.
Upang maiwasan ang mga isyu sa pag-access pagkatapos mag-expire ang pansamantalang susi, isang teknolohiya ng awtomatikong pag-renew ang ipinapatupad sa orihinal na TLS server. Ang pagbuo ay hindi nangangailangan ng mga manu-manong operasyon o script—ang isang awtorisadong server na nangangailangan ng pribadong susi ay makikipag-ugnayan sa orihinal na TLS server ng site bago mag-expire ang nakaraang susi, at bubuo ito ng isang intermediate key sa loob ng isa pang maikling panahon.
Ang mga browser na sumusuporta sa Delegated Credentials TLS extension ay ituturing ang mga naturang derivative certificate bilang mapagkakatiwalaan. Halimbawa, ang suporta para sa extension na ito ay naidagdag na sa mga nightly build at beta na bersyon ng Firefox at maaaring paganahin sa about:config sa pamamagitan ng pagbabago sa setting na "security.tls.enable_delegated_credentials". Isang eksperimento rin ang pinaplano para sa kalagitnaan ng Nobyembre sa isang tiyak na porsyento ng mga gumagamit ng Firefox test.", na magpapadala ng kahilingan sa pagsubok sa DC server ng Cloudflare upang subukan ang kalidad ng implementasyon ng bagong extension ng TLS. Ang suporta para sa mga Delegated Credentials ay naka-built na rin sa library. gamit ang implementasyon ng TLS 1.3.
Ang ispesipikasyon ng Delegated Credentials ay isinumite na sa Internet Engineering Task Force (IETF), isang komite na bumubuo ng mga protocol at arkitektura ng Internet, at nasa yugto na ng pag-aaral. , na nagsasabing isa itong pamantayan sa internet. Ang extension na Delegated Credentials ay magagamit lamang sa TLSv1.3.
Ang pagbuo ng mga intermediate key ay nangangailangan ng pagkuha ng TLS certificate na may kasamang espesyal na X.509 extension, na kasalukuyang sinusuportahan lamang ng DigiCert certification authority.
Pinagmulan: opennet.ru
