Нове розширення також може стати корисним для сайтів, робота яких забезпечується великою розподіленою інфраструктурою з великою кількістю балансувальників навантаження. Delegated Credentials дозволить уникнути зберігання копій закритих ключів основних сертифікатів кожного вузла віддачі контенту. При класичному підході успішна атака на будь-який із серверів, що беруть участь у віддачі трафіку HTTPS, призведе до компрометації всього сертифіката. У разі передачі закритих ключів мережам доставки контенту виникають загрози витоку даних внаслідок диверсій з боку персоналу, дій спецслужб чи компрометації інфраструктури CDN.
Якщо витік ключів залишиться непоміченим, ті, що отримали доступ до ключів, зможуть досить тривалий час непомітно вклинюватися в трафік сайту (MITM), оскільки терміни дії сертифікатів обчислюються місяцями та роками. У Cloudflare для захисту ключів сертифікатів можуть
Запропоноване TLS-розширення Delegated Credentials вводить у вжиток додатковий проміжний закритий ключ, час дії якого обмежений годинами або кількома днями (не більше 7 днів). Даний ключ генерується на основі виданого сертифіката, що посвідчує центром, і дозволяє зберегти закритий ключ вихідного сертифіката в таємниці від сервісів доставки контенту, надавши їм тільки тимчасовий сертифікат з коротким часом життя.
Для того щоб уникнути проблем з доступом після закінчення часу проміжного ключа передбачена технологія автоматичного оновлення, що виконується на стороні вихідного TLS-сервера. Для генерації не потрібно виконання ручних операцій або запуску скриптів — авторизований сервер, якому потрібен закритий ключ, до закінчення часу попереднього ключа звертається до вихідного TLS-сервера сайту і він генерує проміжний ключ на черговий короткий проміжок часу.
Підтримуючі TLS-розширення Delegated Credentials браузери будуть сприймати подібні похідні сертифікати як такі, що заслуговують на довіру. Наприклад, підтримка вказаного розширення вже додана в нічні збірки та бета-версії Firefox і може бути активована в about:config через зміну настойки "security.tls.enable_delegated_credentials". У середині листопада серед певного відсотка користувачів тестових версій Firefox також планується провести експеримент.
Специфікацію Delegated Credentials передано до комітету IETF (Internet Engineering Task Force), що займається розвитком протоколів та архітектури Інтернет, і знаходиться на стадії
Для генерації проміжних ключів потрібне отримання TLS-сертифіката, що включає спеціальне розширення X.509, яке поки що підтримується тільки центром DigiCert, що засвідчує.
Джерело: opennet.ru