نئی ایکسٹینشن ان سائٹس کے لیے بھی کارآمد ہو سکتی ہے جو بڑی تعداد میں لوڈ بیلنسرز کے ساتھ ایک بڑے تقسیم شدہ انفراسٹرکچر پر کام کرتی ہیں۔ تفویض کردہ اسناد ہر مواد کی ترسیل کے نوڈ پر مرکزی سرٹیفکیٹس کی نجی کلیدوں کی کاپیاں ذخیرہ کرنے سے گریز کریں گی۔ کلاسک اپروچ کے ساتھ، HTTPS ٹریفک بھیجنے میں شامل کسی بھی سرور پر کامیاب حملہ پورے سرٹیفکیٹ کے سمجھوتہ کا باعث بنے گا۔ اگر پرائیویٹ کیز کو مواد کی ترسیل کے نیٹ ورکس میں منتقل کیا جاتا ہے، تو اہلکاروں کی تخریب کاری، انٹیلی جنس ایجنسیوں کی کارروائیوں، یا CDN کے بنیادی ڈھانچے سے سمجھوتہ کرنے کے نتیجے میں ڈیٹا کے لیک ہونے کے خطرات ہیں۔
اگر کسی کلید کے رساو کا پتہ نہیں چل جاتا ہے، تو وہ لوگ جنہوں نے چابیاں تک رسائی حاصل کر لی ہے وہ کافی عرصے تک سائٹ ٹریفک (MITM) میں ناقابل شناخت طور پر پھنس سکتے ہیں، کیونکہ سرٹیفکیٹس کی میعاد کی مدت کا حساب مہینوں اور سالوں میں کیا جاتا ہے۔ Cloudflare کی طرف سے سرٹیفکیٹ کی چابیاں کی حفاظت کر سکتے ہیں
مجوزہ TLS توسیع Delegated Credentials ایک اضافی انٹرمیڈیٹ پرائیویٹ کلید متعارف کراتی ہے، جس کی میعاد گھنٹوں یا کئی دنوں تک محدود ہے (7 دن سے زیادہ نہیں)۔ یہ کلید ایک سرٹیفیکیشن اتھارٹی کی طرف سے جاری کردہ سرٹیفکیٹ کی بنیاد پر تیار کی گئی ہے اور آپ کو مواد کی ترسیل کی خدمات سے اصل سرٹیفکیٹ کی نجی کلید کو خفیہ رکھنے کی اجازت دیتی ہے، انہیں مختصر زندگی کے ساتھ صرف ایک عارضی سرٹیفکیٹ فراہم کرتا ہے۔
انٹرمیڈیٹ کلید کی میعاد ختم ہونے کے بعد رسائی کے مسائل سے بچنے کے لیے، ایک خودکار اپ ڈیٹ ٹیکنالوجی فراہم کی جاتی ہے جو اصل TLS سرور کے پہلو میں انجام دی جاتی ہے۔ جنریشن کو مینوئل آپریشنز یا چلانے والی اسکرپٹس کی ضرورت نہیں ہوتی ہے - ایک مجاز سرور جس کے لیے نجی کلید کی ضرورت ہوتی ہے، پچھلی کلید کی زندگی ختم ہونے سے پہلے، سائٹ کے اصل TLS سرور سے رابطہ کرتا ہے اور یہ اگلے مختصر عرصے کے لیے ایک انٹرمیڈیٹ کلید تیار کرتا ہے۔
براؤزرز جو ڈیلیگیٹڈ اسناد TLS ایکسٹینشن کو سپورٹ کرتے ہیں وہ ایسے اخذ کردہ سرٹیفکیٹس کو قابل اعتماد سمجھیں گے۔ مثال کے طور پر، مخصوص ایکسٹینشن کے لیے سپورٹ کو فائر فاکس کے نائٹ بلڈز اور بیٹا ورژنز میں پہلے ہی شامل کیا جا چکا ہے اور "security.tls.enable_delegated_credentials" کی ترتیب کو تبدیل کر کے about:config میں فعال کیا جا سکتا ہے۔ نومبر کے وسط میں، فائر فاکس کے ٹیسٹ ورژن کے صارفین کے مخصوص فیصد کے درمیان ایک تجربہ کرنے کا بھی منصوبہ ہے۔
تفویض کردہ اسناد کی تفصیلات IETF (انٹرنیٹ انجینئرنگ ٹاسک فورس) کمیٹی کو جمع کر دی گئی ہیں، جو انٹرنیٹ پروٹوکول اور فن تعمیر کی ترقی کے لیے ذمہ دار ہے، اور
انٹرمیڈیٹ کیز بنانے کے لیے، آپ کو ایک TLS سرٹیفکیٹ حاصل کرنے کی ضرورت ہے جس میں ایک خصوصی X.509 ایکسٹینشن شامل ہے، جو فی الحال صرف DigiCert سرٹیفیکیشن اتھارٹی کے ذریعے تعاون یافتہ ہے۔
ماخذ: opennet.ru