, и cùng công bố tiện ích mở rộng TLS mới (DC), giải quyết vấn đề về chứng chỉ khi tổ chức quyền truy cập vào một trang web thông qua mạng phân phối nội dung. Chứng chỉ do cơ quan chứng nhận cấp có thời hạn hiệu lực dài, điều này gây khó khăn khi cần tổ chức quyền truy cập vào một trang web thông qua dịch vụ của bên thứ ba, thay mặt cho dịch vụ đó phải thiết lập kết nối an toàn, kể từ khi chuyển chứng chỉ của trang web sang bên ngoài dịch vụ tạo ra các mối đe dọa bảo mật bổ sung.
Tiện ích mở rộng mới cũng có thể hữu ích cho các trang web hoạt động trên cơ sở hạ tầng phân tán lớn với số lượng lớn bộ cân bằng tải. Thông tin xác thực được ủy quyền sẽ tránh lưu trữ bản sao khóa riêng của chứng chỉ chính trên mỗi nút phân phối nội dung. Với cách tiếp cận cổ điển, một cuộc tấn công thành công vào bất kỳ máy chủ nào liên quan đến việc gửi lưu lượng HTTPS sẽ dẫn đến việc xâm phạm toàn bộ chứng chỉ. Nếu khóa riêng được chuyển đến mạng phân phối nội dung, sẽ có nguy cơ rò rỉ dữ liệu do sự phá hoại của nhân viên, hành động của các cơ quan tình báo hoặc sự xâm phạm cơ sở hạ tầng CDN.
Nếu rò rỉ khóa không bị phát hiện, những người có quyền truy cập vào khóa sẽ có thể tham gia vào lưu lượng truy cập trang web (MITM) trong một thời gian khá dài, vì thời hạn hiệu lực của chứng chỉ được tính bằng tháng và năm. Cloudflare có thể bảo vệ khóa chứng chỉ bằng cách Các máy chủ khóa đặc biệt hoạt động bên cạnh chủ sở hữu trang web, nhưng hoạt động ở chế độ này dẫn đến sự chậm trễ đáng kể trong việc phân phối lưu lượng truy cập, làm giảm độ tin cậy do xuất hiện một liên kết bổ sung và yêu cầu triển khai cơ sở hạ tầng phức tạp.
Thông tin xác thực được ủy quyền của tiện ích mở rộng TLS được đề xuất giới thiệu một khóa riêng trung gian bổ sung, hiệu lực của khóa này được giới hạn trong vài giờ hoặc vài ngày (không quá 7 ngày). Khóa này được tạo dựa trên chứng chỉ do cơ quan chứng nhận cấp và cho phép bạn giữ bí mật khóa riêng của chứng chỉ gốc khỏi các dịch vụ phân phối nội dung, chỉ cung cấp cho họ chứng chỉ tạm thời với thời gian tồn tại ngắn.
Để tránh các sự cố truy cập sau khi khóa trung gian hết hạn, công nghệ cập nhật tự động được cung cấp được thực hiện ở phía máy chủ TLS gốc. Việc tạo không yêu cầu thao tác thủ công hoặc chạy tập lệnh - một máy chủ được ủy quyền yêu cầu khóa riêng, trước khi khóa trước hết hạn, sẽ liên hệ với máy chủ TLS ban đầu của trang web và tạo khóa trung gian trong khoảng thời gian ngắn tiếp theo.
Các trình duyệt hỗ trợ tiện ích mở rộng TLS thông tin xác thực được ủy quyền sẽ coi các chứng chỉ phái sinh đó là đáng tin cậy. Ví dụ: hỗ trợ cho tiện ích mở rộng được chỉ định đã được thêm vào các bản dựng hàng đêm và phiên bản beta của Firefox và có thể được kích hoạt trong about:config bằng cách thay đổi cài đặt “security.tls.enable_delegated_credentials”. Vào giữa tháng 11, một thử nghiệm cũng được lên kế hoạch tiến hành với một tỷ lệ phần trăm nhất định người dùng phiên bản thử nghiệm của Firefox ““, trong đó một yêu cầu thử nghiệm sẽ được gửi đến máy chủ Cloudflare DC để kiểm tra chất lượng triển khai tiện ích mở rộng TLS mới. Hỗ trợ cho Thông tin xác thực được ủy quyền cũng đã được tích hợp vào thư viện với việc triển khai TLS 1.3.
Đặc tả Thông tin xác thực được ủy quyền đã được đệ trình lên ủy ban IETF (Lực lượng đặc nhiệm kỹ thuật Internet), chịu trách nhiệm phát triển các giao thức và kiến trúc Internet, đồng thời có trách nhiệm , được tuyên bố là một tiêu chuẩn Internet. Chỉ có thể sử dụng tiện ích mở rộng Thông tin xác thực được ủy quyền với TLSv1.3.
Để tạo khóa trung gian, bạn cần có chứng chỉ TLS bao gồm tiện ích mở rộng X.509 đặc biệt, hiện chỉ được cơ quan chứng nhận DigiCert hỗ trợ.
Nguồn: opennet.ru