Facebook, Mozilla і Cloudflare оголосили про нову специфікацію TLS Delegated Credentials, яка має усунути проблему із захистом сертифікатів для великих сайтів.
Новий стандарт працюватиме як розширення TLS — криптографічного протоколу, на якому базується більш відомий протокол шифрування HTTPS. Розширення TLS Delegate Credentials створили спеціально для великих ресурсів на кшталт Facebook і сайтів, що користуються мережами розповсюдження контенту (CDN), як от Cloudflare.
Як це працює
Великі сайти на кшталт Facebook мають тисячі серверів у всьому світі. Щоб забезпечити HTTPS-трафік, Facebook має розмістити на кожному сервері копію свого закритого TLS-ключа.
Це небезпечний хід — адже зловмисники можуть зламати один сервер, використати ключ і перехоплювати трафік користувачів (поки не закінчиться термін дії сертифікату). Так само все працюватиме і з CDN-сервісами на кшталт Cloudflare.
Розширення TLS Delegate Credentials створює додаткові ключі TLS з коротким терміном дії — від кількох годин до 7 днів. Їх можна використовувати на серверах замість справжніх закритих ключів.
Якщо зловмисники все ж зламають сервер, вкрадений ключ діятиме не більше ніж кілька днів — а не тижнів, місяців чи років, як зараз. Оновлення ключа буде автоматичним: авторизований сервер звертатиметься до вихідного TLS-сервера сайту, котрий генеруватиме наступний ключ з коротким терміном дії.
Зараз проєкт проходить стандартизацію в Internet Engineering Task Force (IETF). Розширення TLS Delegated Credentials буде сумісне з протоколом TLS 1.3 і його наступними версіями. Більш детально про новий стандарт можна прочитати у блогах Facebook, Mozilla і Cloudflare.
Ще немає коментарів