, и спільно анонсували нове TLS-розширення (DC), що вирішує проблему із сертифікатами при організації доступу до сайту через мережі доставки контенту. Сертифікати, що видаються посвідчувальними центрами, мають тривалий термін дії, що створює труднощі при необхідності організації доступу до сайту через сторонній сервіс, від якого має встановлюватися захищене з'єднання, оскільки передача сертифіката сайту зовнішньому сервісу створює додаткові загрози безпеці.
Нове розширення також може стати корисним для сайтів, робота яких забезпечується великою розподіленою інфраструктурою з великою кількістю балансувальників навантаження. Delegated Credentials дозволить уникнути зберігання копій закритих ключів основних сертифікатів кожного вузла віддачі контенту. При класичному підході успішна атака на будь-який із серверів, що беруть участь у віддачі трафіку HTTPS, призведе до компрометації всього сертифіката. У разі передачі закритих ключів мережам доставки контенту виникають загрози витоку даних внаслідок диверсій з боку персоналу, дій спецслужб чи компрометації інфраструктури CDN.
Якщо витік ключів залишиться непоміченим, ті, що отримали доступ до ключів, зможуть досить тривалий час непомітно вклинюватися в трафік сайту (MITM), оскільки терміни дії сертифікатів обчислюються місяцями та роками. У Cloudflare для захисту ключів сертифікатів можуть спеціальні сервери ключів, що працюють на стороні власника сайту, але робота в такому режимі призводить до появи відчутних затримок у віддачі трафіку, знижує надійність через появу додаткової ланки та вимагає розгортання ускладненої інфраструктури.
Запропоноване TLS-розширення Delegated Credentials вводить у вжиток додатковий проміжний закритий ключ, час дії якого обмежений годинами або кількома днями (не більше 7 днів). Даний ключ генерується на основі виданого сертифіката, що посвідчує центром, і дозволяє зберегти закритий ключ вихідного сертифіката в таємниці від сервісів доставки контенту, надавши їм тільки тимчасовий сертифікат з коротким часом життя.
Для того щоб уникнути проблем з доступом після закінчення часу проміжного ключа передбачена технологія автоматичного оновлення, що виконується на стороні вихідного TLS-сервера. Для генерації не потрібно виконання ручних операцій або запуску скриптів — авторизований сервер, якому потрібен закритий ключ, до закінчення часу попереднього ключа звертається до вихідного TLS-сервера сайту і він генерує проміжний ключ на черговий короткий проміжок часу.
Підтримуючі TLS-розширення Delegated Credentials браузери будуть сприймати подібні похідні сертифікати як такі, що заслуговують на довіру. Наприклад, підтримка вказаного розширення вже додана в нічні збірки та бета-версії Firefox і може бути активована в about:config через зміну настойки "security.tls.enable_delegated_credentials". У середині листопада серед певного відсотка користувачів тестових версій Firefox також планується провести експеримент.«В рамках якого для перевірки якості реалізації нового TLS-розширення буде відправлено тестовий запит на DC-сервер Cloudflare. Підтримка Delegated Credentials також вже вбудована у бібліотеку з реалізацією TLS 1.3.
Специфікацію Delegated Credentials передано до комітету IETF (Internet Engineering Task Force), що займається розвитком протоколів та архітектури Інтернет, і знаходиться на стадії , що претендує на звання інтернет-стандарту Розширення Delegated Credentials можна застосовувати лише з TLSv1.3.
Для генерації проміжних ключів потрібне отримання TLS-сертифіката, що включає спеціальне розширення X.509, яке поки що підтримується тільки центром DigiCert, що засвідчує.
Джерело: opennet.ru