, и 聯合宣布新的 TLS 擴展 (DC),解決了透過內容交付網路組織對網站的存取時的憑證問題。 認證機構頒發的憑證具有較長的有效期,當需要透過第三方服務組織對網站的存取時會產生困難,必須代表第三方服務建立安全連接,因為將網站的憑證傳輸到外部服務會產生額外的安全威脅。
新的擴充對於在具有大量負載平衡器的大型分散式基礎架構上運行的站點也可能很有用。 委派憑證將避免在每個內容交付節點上儲存主憑證的私鑰副本。 使用經典方法,對涉及發送 HTTPS 流量的任何伺服器的成功攻擊都將導致整個憑證受到損害。 如果私鑰被傳輸到內容交付網絡,則由於人員破壞、情報機構的行為或 CDN 基礎設施的破壞,則存在資料外洩的威脅。
如果金鑰洩漏未被偵測到,那些獲得金鑰存取權的人將能夠在相當長的一段時間內以難以察覺的方式融入網站流量(MITM),因為憑證的有效期以月和年計算。 Cloudflare 可以透過以下方式保護憑證金鑰 特殊的金鑰伺服器在網站擁有者一側運行,但在這種模式下工作會導致流量傳輸的嚴重延遲,由於附加連結的出現而降低了可靠性,並且需要部署複雜的基礎設施。
擬議的 TLS 擴展委託憑證引入了額外的中間私鑰,其有效期僅限於數小時或數天(不超過 7 天)。 該密鑰是根據憑證授權單位頒發的憑證產生的,可讓您對內容交付服務保密原始憑證的私鑰,僅向他們提供生命週期較短的臨時憑證。
為了避免中間金鑰過期後出現存取問題,提供了自動更新技術,在原TLS伺服器端進行。 產生不需要手動操作或運行腳本 - 需要私鑰的授權伺服器在前一個金鑰的生命週期到期之前聯繫網站的原始 TLS 伺服器,並為下一個短時間段產生中間金鑰。
支援委派憑證 TLS 擴充功能的瀏覽器會將此類衍生憑證視為可信任的。 例如,對指定擴充功能的支援已新增至 Firefox 的夜間建置和 Beta 版本中,並且可以透過變更「security.tls.enable_delegate_credentials」設定在 about:config 中啟動。 XNUMX月中旬,也計劃在一定比例的Firefox測試版用戶中進行實驗“「,其中將向 Cloudflare DC 伺服器發送測試請求,以檢查新 TLS 擴充功能的實施品質。 庫中也內建了委派憑證的支持 實施 TLS 1.3。
委託憑證規範已提交給 IETF(互聯網工程任務組)委員會,該委員會負責互聯網協議和架構的開發,並處於 ,它聲稱是互聯網標準。 委派憑證擴充只能與 TLSv1.3 一起使用。
若要產生中間金鑰,您需要取得包含特殊 X.509 擴充功能的 TLS 證書,目前僅由 DigiCert 憑證授權單位支援。
來源: opennet.ru