, и birgalikda yangi TLS kengaytmasini e'lon qildi (DC), kontentni etkazib berish tarmoqlari orqali saytga kirishni tashkil qilishda sertifikatlar bilan muammoni hal qilish. Sertifikatlash organlari tomonidan berilgan sertifikatlar uzoq muddat amal qiladi, bu sayt sertifikatini tashqi sertifikatga o'tkazgandan so'ng xavfsiz ulanish o'rnatilishi kerak bo'lgan uchinchi tomon xizmati orqali saytga kirishni tashkil qilish zarur bo'lganda qiyinchiliklarni keltirib chiqaradi. xizmat qo'shimcha xavfsizlik tahdidlarini yaratadi.
Yangi kengaytma, shuningdek, ko'p sonli yuk balanslagichlari bo'lgan katta taqsimlangan infratuzilmada ishlaydigan saytlar uchun ham foydali bo'lishi mumkin. Vakolatli hisobga olish ma'lumotlari har bir kontent yetkazib berish tugunida asosiy sertifikatlarning shaxsiy kalitlari nusxalarini saqlashdan qochadi. Klassik yondashuv bilan HTTPS trafigini jo'natishda ishtirok etuvchi serverlarning har qandayiga muvaffaqiyatli hujum butun sertifikatning buzilishiga olib keladi. Agar shaxsiy kalitlar kontentni etkazib berish tarmoqlariga o'tkazilsa, xodimlarning sabotaji, razvedka agentliklarining harakatlari yoki CDN infratuzilmasining buzilishi natijasida ma'lumotlarning sizib chiqishi tahdidlari mavjud.
Agar kalitning sizib chiqishi e'tiborga olinmasa, kalitlarga kirish huquqiga ega bo'lganlar uzoq vaqt davomida sayt trafigiga (MITM) kirishlari mumkin bo'ladi, chunki sertifikatlarning amal qilish muddati oylar va yillar bilan hisoblanadi. Cloudflare sertifikat kalitlarini himoya qilishi mumkin maxsus kalit serverlar sayt egasi tomonida ishlaydi, lekin bu rejimda ishlash trafikni etkazib berishda sezilarli kechikishlarga olib keladi, qo'shimcha havola paydo bo'lishi tufayli ishonchlilikni pasaytiradi va murakkab infratuzilmani joylashtirishni talab qiladi.
Taklif etilayotgan TLS kengaytmasi Delegated Credentials qo'shimcha oraliq shaxsiy kalitni taqdim etadi, uning amal qilish muddati soatlar yoki bir necha kunlar bilan cheklangan (7 kundan ortiq emas). Ushbu kalit sertifikatlashtirish organi tomonidan berilgan sertifikat asosida ishlab chiqariladi va asl sertifikatning shaxsiy kalitini kontentni yetkazib berish xizmatlaridan sir saqlashga imkon beradi, ularga faqat qisqa muddatga vaqtinchalik sertifikat taqdim etadi.
Oraliq kalitning amal qilish muddati tugagandan so'ng kirish bilan bog'liq muammolarni oldini olish uchun original TLS server tomonida amalga oshiriladigan avtomatik yangilash texnologiyasi taqdim etiladi. Yaratish qo'lda operatsiyalarni yoki ishlaydigan skriptlarni talab qilmaydi - shaxsiy kalitni talab qiladigan avtorizatsiya qilingan server, avvalgi kalitning amal qilish muddati tugashidan oldin, saytning asl TLS serveri bilan bog'lanadi va u keyingi qisqa vaqt uchun oraliq kalitni yaratadi.
Delegated Credentials TLS kengaytmasini qo'llab-quvvatlaydigan brauzerlar bunday olingan sertifikatlarni ishonchli deb hisoblashadi. Masalan, ko‘rsatilgan kengaytmani qo‘llab-quvvatlash Firefox-ning tungi tuzilmalari va beta-versiyalariga allaqachon qo‘shilgan va “security.tls.enable_delegated_credentials” sozlamasini o‘zgartirish orqali about:config ichida faollashtirilishi mumkin. Noyabr oyi o'rtalarida Firefox-ning test versiyalari foydalanuvchilarining ma'lum bir qismi o'rtasida tajriba o'tkazish rejalashtirilgan.", uning doirasida yangi TLS kengaytmasini amalga oshirish sifatini tekshirish uchun Cloudflare DC serveriga test so'rovi yuboriladi. Vakil qilingan hisob ma'lumotlarini qo'llab-quvvatlash allaqachon kutubxonaga kiritilgan TLS 1.3 ilovasi bilan.
Delegatsiyalangan hisobga olish ma'lumotlari spetsifikatsiyasi Internet protokollari va arxitekturasini ishlab chiqish uchun mas'ul bo'lgan IETF (Internet Engineering Task Force) qo'mitasiga taqdim etildi. , bu Internet standarti ekanligini da'vo qiladi. Vakolatli hisob ma'lumotlari kengaytmasidan faqat TLSv1.3 bilan foydalanish mumkin.
Oraliq kalitlarni yaratish uchun siz maxsus X.509 kengaytmasini o'z ichiga olgan TLS sertifikatini olishingiz kerak, hozirda uni faqat DigiCert sertifikatlashtirish organi qo'llab-quvvatlaydi.
Manba: opennet.ru