Yangi kengaytma, shuningdek, ko'p sonli yuk balanslagichlari bo'lgan katta taqsimlangan infratuzilmada ishlaydigan saytlar uchun ham foydali bo'lishi mumkin. Vakolatli hisobga olish ma'lumotlari har bir kontent yetkazib berish tugunida asosiy sertifikatlarning shaxsiy kalitlari nusxalarini saqlashdan qochadi. Klassik yondashuv bilan HTTPS trafigini jo'natishda ishtirok etuvchi serverlarning har qandayiga muvaffaqiyatli hujum butun sertifikatning buzilishiga olib keladi. Agar shaxsiy kalitlar kontentni etkazib berish tarmoqlariga o'tkazilsa, xodimlarning sabotaji, razvedka agentliklarining harakatlari yoki CDN infratuzilmasining buzilishi natijasida ma'lumotlarning sizib chiqishi tahdidlari mavjud.
Agar kalitning sizib chiqishi e'tiborga olinmasa, kalitlarga kirish huquqiga ega bo'lganlar uzoq vaqt davomida sayt trafigiga (MITM) kirishlari mumkin bo'ladi, chunki sertifikatlarning amal qilish muddati oylar va yillar bilan hisoblanadi. Cloudflare sertifikat kalitlarini himoya qilishi mumkin
Taklif etilayotgan TLS kengaytmasi Delegated Credentials qo'shimcha oraliq shaxsiy kalitni taqdim etadi, uning amal qilish muddati soatlar yoki bir necha kunlar bilan cheklangan (7 kundan ortiq emas). Ushbu kalit sertifikatlashtirish organi tomonidan berilgan sertifikat asosida ishlab chiqariladi va asl sertifikatning shaxsiy kalitini kontentni yetkazib berish xizmatlaridan sir saqlashga imkon beradi, ularga faqat qisqa muddatga vaqtinchalik sertifikat taqdim etadi.
Oraliq kalitning amal qilish muddati tugagandan so'ng kirish bilan bog'liq muammolarni oldini olish uchun original TLS server tomonida amalga oshiriladigan avtomatik yangilash texnologiyasi taqdim etiladi. Yaratish qo'lda operatsiyalarni yoki ishlaydigan skriptlarni talab qilmaydi - shaxsiy kalitni talab qiladigan avtorizatsiya qilingan server, avvalgi kalitning amal qilish muddati tugashidan oldin, saytning asl TLS serveri bilan bog'lanadi va u keyingi qisqa vaqt uchun oraliq kalitni yaratadi.
Delegated Credentials TLS kengaytmasini qo'llab-quvvatlaydigan brauzerlar bunday olingan sertifikatlarni ishonchli deb hisoblashadi. Masalan, ko‘rsatilgan kengaytmani qo‘llab-quvvatlash Firefox-ning tungi tuzilmalari va beta-versiyalariga allaqachon qo‘shilgan va “security.tls.enable_delegated_credentials” sozlamasini o‘zgartirish orqali about:config ichida faollashtirilishi mumkin. Noyabr oyi o'rtalarida Firefox-ning test versiyalari foydalanuvchilarining ma'lum bir qismi o'rtasida tajriba o'tkazish rejalashtirilgan.
Delegatsiyalangan hisobga olish ma'lumotlari spetsifikatsiyasi Internet protokollari va arxitekturasini ishlab chiqish uchun mas'ul bo'lgan IETF (Internet Engineering Task Force) qo'mitasiga taqdim etildi.
Oraliq kalitlarni yaratish uchun siz maxsus X.509 kengaytmasini o'z ichiga olgan TLS sertifikatini olishingiz kerak, hozirda uni faqat DigiCert sertifikatlashtirish organi qo'llab-quvvatlaydi.
Manba: opennet.ru