Mozilla, Cloudflare та Facebook спільно анонсували нове TLS-розширення Delegated Credentials (DC)
Mozilla, Cloudflare і Facebook спільно анонсували нове TLS-розширення Delegated Credentials (DC)
Mozilla, Cloudflare і Facebook спільно анонсували нове TLS-розширення Delegated Credentials (DC), що вирішує проблему з сертифікатами при організації доступу до сайту через мережі доставки контенту. Сертифікати, що видаються посвідчувальними центрами, мають тривалий термін дії, що створює труднощі при необхідності організації доступу до сайту через сторонній сервіс, від імені якого має встановлюватися захищене з'єднання, оскільки передача сертифіката сайту зовнішньому сервісу створює додаткові загрози безпеці.
Нове розширення також може бути корисним для сайтів, робота яких забезпечується великою розподіленою інфраструктурою з великою кількістю балансувальників навантаження. Delegated Credentials дозволить уникнути зберігання копій закритих ключів основних сертифікатів кожному вузлі віддачі контенту. При класичному підході успішна атака на будь-який із серверів, що беруть участь у віддачі трафіку HTTPS, призведе до компрометації всього сертифіката. У разі передачі закритих ключів мережам доставки контенту виникають загрози витоку даних внаслідок диверсій з боку персоналу, дій спецслужб чи компрометації інфраструктури CDN.
Якщо витік ключів залишиться непоміченим, ті, хто отримав доступ до ключів, зможуть досить тривалий час непомітно вклинюватися в трафік сайту (MITM), оскільки терміни дії сертифікатів обчислюються місяцями та роками. У Cloudflare для захисту ключів сертифікатів можуть застосовуватися спеціальні сервери ключів, що працюють на стороні власника сайту, але робота в такому режимі призводить до появи відчутних затримок у віддачі трафіку, знижує надійність через появу додаткової ланки та вимагає розгортання ускладненої інфраструктури.
Запропоноване TLS-розширення Delegated Credentials вводить у вжиток додатковий проміжний закритий ключ, час дії якого обмежений годинами або кількома днями (не більше 7 днів). Цей ключ генерується на основі виданого сертифіката, що посвідчує центр, і дозволяє зберегти закритий ключ вихідного сертифіката в таємниці від сервісів доставки контенту, надавши їм тільки тимчасовий сертифікат з коротким часом життя.
Для того щоб уникнути проблем з доступом після закінчення часу проміжного ключа передбачена технологія автоматичного оновлення, що виконується на стороні вихідного TLS-сервера. Для генерації не потрібно виконання ручних операцій або запуску скриптів - авторизований сервер, якому потрібний закритий ключ, до закінчення часу життя попереднього ключа звертається до вихідного TLS-сервера сайту і він генерує проміжний ключ на черговий короткий проміжок часу.
Підтримуючі TLS-розширення Delegated Credentials браузери сприйматимуть подібні похідні сертифікати як такі, що заслуговують на довіру. Наприклад, підтримка вказаного розширення вже додана в нічні збірки та бета-версії Firefox і може бути активована в about:config через зміну налаштування "security.tls.enable_delegated_credentials". У середині листопада серед певного відсотка користувачів тестових версій Firefox також планується провести експеримент "TLS Delegated Credentials Experiment", у рамках якого для перевірки якості реалізації нового TLS-розширення буде надіслано тестовий запит на DC-сервер Cloudflare. Підтримка Delegated Credentials також уже вбудована в бібліотеку Fizz с реалізацією TLS 1.3.
Специфікацію Delegated Credentials передано до комітету IETF (Internet Engineering Task Force), що займається розвитком протоколів та архітектури Інтернет, і знаходиться на стадії чернетки, що претендує на звання інтернет-стандарту. Розширення Delegated Credentials можна застосовувати лише з TLSv1.3. Для генерації проміжних ключів потрібне отримання TLS-сертифіката, що включає спеціальне розширення X.509, яке поки що підтримується тільки центром DigiCert, що засвідчує.
