, и مشترکہ طور پر ایک نئی TLS توسیع کا اعلان کیا۔ (DC)، مواد کی ترسیل کے نیٹ ورکس کے ذریعے کسی سائٹ تک رسائی کو منظم کرتے وقت سرٹیفکیٹس کے ساتھ مسئلہ کو حل کرنا۔ سرٹیفیکیشن حکام کی طرف سے جاری کردہ سرٹیفکیٹس کی میعاد طویل ہوتی ہے، جو اس وقت مشکلات پیدا کرتی ہے جب کسی فریق ثالث کی خدمت کے ذریعے کسی سائٹ تک رسائی کو منظم کرنا ضروری ہوتا ہے، جس کی جانب سے ایک محفوظ کنکشن قائم کرنا ضروری ہوتا ہے، کیونکہ سائٹ کے سرٹیفکیٹ کو کسی بیرونی میں منتقل کیا جاتا ہے۔ سروس اضافی سیکورٹی خطرات پیدا کرتی ہے۔
نئی ایکسٹینشن ان سائٹس کے لیے بھی کارآمد ہو سکتی ہے جو بڑی تعداد میں لوڈ بیلنسرز کے ساتھ ایک بڑے تقسیم شدہ انفراسٹرکچر پر کام کرتی ہیں۔ تفویض کردہ اسناد ہر مواد کی ترسیل کے نوڈ پر مرکزی سرٹیفکیٹس کی نجی کلیدوں کی کاپیاں ذخیرہ کرنے سے گریز کریں گی۔ کلاسک اپروچ کے ساتھ، HTTPS ٹریفک بھیجنے میں شامل کسی بھی سرور پر کامیاب حملہ پورے سرٹیفکیٹ کے سمجھوتہ کا باعث بنے گا۔ اگر پرائیویٹ کیز کو مواد کی ترسیل کے نیٹ ورکس میں منتقل کیا جاتا ہے، تو اہلکاروں کی تخریب کاری، انٹیلی جنس ایجنسیوں کی کارروائیوں، یا CDN کے بنیادی ڈھانچے سے سمجھوتہ کرنے کے نتیجے میں ڈیٹا کے لیک ہونے کے خطرات ہیں۔
اگر کسی کلید کے رساو کا پتہ نہیں چل جاتا ہے، تو وہ لوگ جنہوں نے چابیاں تک رسائی حاصل کر لی ہے وہ کافی عرصے تک سائٹ ٹریفک (MITM) میں ناقابل شناخت طور پر پھنس سکتے ہیں، کیونکہ سرٹیفکیٹس کی میعاد کی مدت کا حساب مہینوں اور سالوں میں کیا جاتا ہے۔ Cloudflare کی طرف سے سرٹیفکیٹ کی چابیاں کی حفاظت کر سکتے ہیں سائٹ کے مالک کی طرف سے کام کرنے والے خصوصی کلیدی سرورز، لیکن اس موڈ میں کام کرنے سے ٹریفک کی ترسیل میں خاصی تاخیر ہوتی ہے، اضافی لنک کی ظاہری شکل کی وجہ سے اعتبار کم ہوتا ہے اور پیچیدہ انفراسٹرکچر کی تعیناتی کی ضرورت ہوتی ہے۔
مجوزہ TLS توسیع Delegated Credentials ایک اضافی انٹرمیڈیٹ پرائیویٹ کلید متعارف کراتی ہے، جس کی میعاد گھنٹوں یا کئی دنوں تک محدود ہے (7 دن سے زیادہ نہیں)۔ یہ کلید ایک سرٹیفیکیشن اتھارٹی کی طرف سے جاری کردہ سرٹیفکیٹ کی بنیاد پر تیار کی گئی ہے اور آپ کو مواد کی ترسیل کی خدمات سے اصل سرٹیفکیٹ کی نجی کلید کو خفیہ رکھنے کی اجازت دیتی ہے، انہیں مختصر زندگی کے ساتھ صرف ایک عارضی سرٹیفکیٹ فراہم کرتا ہے۔
انٹرمیڈیٹ کلید کی میعاد ختم ہونے کے بعد رسائی کے مسائل سے بچنے کے لیے، ایک خودکار اپ ڈیٹ ٹیکنالوجی فراہم کی جاتی ہے جو اصل TLS سرور کے پہلو میں انجام دی جاتی ہے۔ جنریشن کو مینوئل آپریشنز یا چلانے والی اسکرپٹس کی ضرورت نہیں ہوتی ہے - ایک مجاز سرور جس کے لیے نجی کلید کی ضرورت ہوتی ہے، پچھلی کلید کی زندگی ختم ہونے سے پہلے، سائٹ کے اصل TLS سرور سے رابطہ کرتا ہے اور یہ اگلے مختصر عرصے کے لیے ایک انٹرمیڈیٹ کلید تیار کرتا ہے۔
براؤزرز جو ڈیلیگیٹڈ اسناد TLS ایکسٹینشن کو سپورٹ کرتے ہیں وہ ایسے اخذ کردہ سرٹیفکیٹس کو قابل اعتماد سمجھیں گے۔ مثال کے طور پر، مخصوص ایکسٹینشن کے لیے سپورٹ کو فائر فاکس کے نائٹ بلڈز اور بیٹا ورژنز میں پہلے ہی شامل کیا جا چکا ہے اور "security.tls.enable_delegated_credentials" کی ترتیب کو تبدیل کر کے about:config میں فعال کیا جا سکتا ہے۔ نومبر کے وسط میں، فائر فاکس کے ٹیسٹ ورژن کے صارفین کے مخصوص فیصد کے درمیان ایک تجربہ کرنے کا بھی منصوبہ ہے۔"، جس کے اندر نئی TLS ایکسٹینشن کے نفاذ کے معیار کو جانچنے کے لیے Cloudflare DC سرور کو ایک ٹیسٹ کی درخواست بھیجی جائے گی۔ ڈیلیگیٹڈ اسناد کے لیے سپورٹ بھی لائبریری میں پہلے سے ہی شامل ہے۔ TLS 1.3 کے نفاذ کے ساتھ۔
تفویض کردہ اسناد کی تفصیلات IETF (انٹرنیٹ انجینئرنگ ٹاسک فورس) کمیٹی کو جمع کر دی گئی ہیں، جو انٹرنیٹ پروٹوکول اور فن تعمیر کی ترقی کے لیے ذمہ دار ہے، اور ، جو انٹرنیٹ کا معیار ہونے کا دعوی کرتا ہے۔ تفویض کردہ اسناد کی توسیع صرف TLSv1.3 کے ساتھ استعمال کی جا سکتی ہے۔
انٹرمیڈیٹ کیز بنانے کے لیے، آپ کو ایک TLS سرٹیفکیٹ حاصل کرنے کی ضرورت ہے جس میں ایک خصوصی X.509 ایکسٹینشن شامل ہے، جو فی الحال صرف DigiCert سرٹیفیکیشن اتھارٹی کے ذریعے تعاون یافتہ ہے۔
ماخذ: opennet.ru