Tiện ích mở rộng mới cũng có thể hữu ích cho các trang web hoạt động trên cơ sở hạ tầng phân tán lớn với số lượng lớn bộ cân bằng tải. Thông tin xác thực được ủy quyền sẽ tránh lưu trữ bản sao khóa riêng của chứng chỉ chính trên mỗi nút phân phối nội dung. Với cách tiếp cận cổ điển, một cuộc tấn công thành công vào bất kỳ máy chủ nào liên quan đến việc gửi lưu lượng HTTPS sẽ dẫn đến việc xâm phạm toàn bộ chứng chỉ. Nếu khóa riêng được chuyển đến mạng phân phối nội dung, sẽ có nguy cơ rò rỉ dữ liệu do sự phá hoại của nhân viên, hành động của các cơ quan tình báo hoặc sự xâm phạm cơ sở hạ tầng CDN.
Nếu rò rỉ khóa không bị phát hiện, những người có quyền truy cập vào khóa sẽ có thể tham gia vào lưu lượng truy cập trang web (MITM) trong một thời gian khá dài, vì thời hạn hiệu lực của chứng chỉ được tính bằng tháng và năm. Cloudflare có thể bảo vệ khóa chứng chỉ bằng cách
Thông tin xác thực được ủy quyền của tiện ích mở rộng TLS được đề xuất giới thiệu một khóa riêng trung gian bổ sung, hiệu lực của khóa này được giới hạn trong vài giờ hoặc vài ngày (không quá 7 ngày). Khóa này được tạo dựa trên chứng chỉ do cơ quan chứng nhận cấp và cho phép bạn giữ bí mật khóa riêng của chứng chỉ gốc khỏi các dịch vụ phân phối nội dung, chỉ cung cấp cho họ chứng chỉ tạm thời với thời gian tồn tại ngắn.
Để tránh các sự cố truy cập sau khi khóa trung gian hết hạn, công nghệ cập nhật tự động được cung cấp được thực hiện ở phía máy chủ TLS gốc. Việc tạo không yêu cầu thao tác thủ công hoặc chạy tập lệnh - một máy chủ được ủy quyền yêu cầu khóa riêng, trước khi khóa trước hết hạn, sẽ liên hệ với máy chủ TLS ban đầu của trang web và tạo khóa trung gian trong khoảng thời gian ngắn tiếp theo.
Các trình duyệt hỗ trợ tiện ích mở rộng TLS thông tin xác thực được ủy quyền sẽ coi các chứng chỉ phái sinh đó là đáng tin cậy. Ví dụ: hỗ trợ cho tiện ích mở rộng được chỉ định đã được thêm vào các bản dựng hàng đêm và phiên bản beta của Firefox và có thể được kích hoạt trong about:config bằng cách thay đổi cài đặt “security.tls.enable_delegated_credentials”. Vào giữa tháng 11, một thử nghiệm cũng được lên kế hoạch tiến hành với một tỷ lệ phần trăm nhất định người dùng phiên bản thử nghiệm của Firefox “
Đặc tả Thông tin xác thực được ủy quyền đã được đệ trình lên ủy ban IETF (Lực lượng đặc nhiệm kỹ thuật Internet), chịu trách nhiệm phát triển các giao thức và kiến trúc Internet, đồng thời có trách nhiệm
Để tạo khóa trung gian, bạn cần có chứng chỉ TLS bao gồm tiện ích mở rộng X.509 đặc biệt, hiện chỉ được cơ quan chứng nhận DigiCert hỗ trợ.
Nguồn: opennet.ru