新的擴充對於在具有大量負載平衡器的大型分散式基礎架構上運行的站點也可能很有用。 委派憑證將避免在每個內容交付節點上儲存主憑證的私鑰副本。 使用經典方法,對涉及發送 HTTPS 流量的任何伺服器的成功攻擊都將導致整個憑證受到損害。 如果私鑰被傳輸到內容交付網絡,則由於人員破壞、情報機構的行為或 CDN 基礎設施的破壞,則存在資料外洩的威脅。
如果金鑰洩漏未被偵測到,那些獲得金鑰存取權的人將能夠在相當長的一段時間內以難以察覺的方式融入網站流量(MITM),因為憑證的有效期以月和年計算。 Cloudflare 可以透過以下方式保護憑證金鑰
擬議的 TLS 擴展委託憑證引入了額外的中間私鑰,其有效期僅限於數小時或數天(不超過 7 天)。 該密鑰是根據憑證授權單位頒發的憑證產生的,可讓您對內容交付服務保密原始憑證的私鑰,僅向他們提供生命週期較短的臨時憑證。
為了避免中間金鑰過期後出現存取問題,提供了自動更新技術,在原TLS伺服器端進行。 產生不需要手動操作或運行腳本 - 需要私鑰的授權伺服器在前一個金鑰的生命週期到期之前聯繫網站的原始 TLS 伺服器,並為下一個短時間段產生中間金鑰。
支援委派憑證 TLS 擴充功能的瀏覽器會將此類衍生憑證視為可信任的。 例如,對指定擴充功能的支援已新增至 Firefox 的夜間建置和 Beta 版本中,並且可以透過變更「security.tls.enable_delegate_credentials」設定在 about:config 中啟動。 XNUMX月中旬,也計劃在一定比例的Firefox測試版用戶中進行實驗“
委託憑證規範已提交給 IETF(互聯網工程任務組)委員會,該委員會負責互聯網協議和架構的開發,並處於
若要產生中間金鑰,您需要取得包含特殊 X.509 擴充功能的 TLS 證書,目前僅由 DigiCert 憑證授權單位支援。
來源: opennet.ru