Jump to content

Делегированные учетные данные

Add links

Делегированные учетные данные — это недолговечный TLS, сертификат используемый для повышения безопасности за счет более быстрого восстановления после утечки закрытого ключа без увеличения задержки установления связи TLS . В настоящее время это IETF интернет-проект . [1] и использовался Cloudflare [2] и Фейсбук , [3] с поддержкой браузера Firefox . [4]

Мотивация

[ редактировать ]

Современные веб-сайты и другие службы используют сети доставки контента (CDN), которые представляют собой серверы, потенциально распределенные по всему миру, чтобы как можно быстрее реагировать на запрос пользователя, наряду с другими услугами, предоставляемыми CDN, такими как предотвращение DDoS-атак . Однако для установки безопасного соединения серверу необходимо доказать владение закрытым ключом, связанным с сертификатом, который служит цепочкой доверия, связывающей открытый ключ и доверенную сторону. Доверенной стороной обычно является центр сертификации (CA).

Центры сертификации выдают эти цифровые сертификаты со сроком действия, обычно от нескольких месяцев до года. Сервер несет ответственность за продление сертификата ближе к дате истечения его срока действия. Знание закрытого ключа, связанного с действительным сертификатом, разрушительно для безопасности сайта, поскольку допускает атаки «человек посередине» , при которых вредоносный объект может выдавать себя за пользователя за законный сервер. Следовательно, эти закрытые ключи следует хранить в безопасности и желательно не распространять их по каждому серверу в CDN. В частности, если закрытый ключ скомпрометирован, соответствующий сертификат оптимально следует отозвать , чтобы браузеры больше не поддерживали этот сертификат. Отзыв сертификата имеет два основных недостатка. Во-первых, текущие методы отзыва не работают должным образом во всех браузерах и подвергают пользователей риску; а во-вторых, при отзыве серверу необходимо быстро получить новый действительный сертификат от ЦС и развернуть его по всем зеркалам .

Дизайн

[ редактировать ]

Делегированные учетные данные — это кратковременный ключ (от нескольких часов до нескольких дней), который владелец сертификата делегирует серверу для использования в TLS. Фактически это подпись : владелец сертификата использует закрытый ключ сертификата для подписи делегированного открытого ключа и срока действия.

Учитывая эти делегированные учетные данные, браузер может (если он его поддерживает) проверить подлинность сервера, проверив делегированный сертификат, а затем проверить сам сертификат.

Преимущества

[ редактировать ]

Этот подход имеет множество преимуществ перед существующими решениями:

  • Делегированные учетные данные недолговечны, поэтому закрытые ключи можно часто менять. Таким образом, даже если определенные делегированные учетные данные будут скомпрометированы без ведома владельца сертификата, эти скомпрометированные учетные данные могут быть злоупотреблены только в течение очень короткого времени.
  • Для украденных сертификатов отзыв не требуется. [ нужна ссылка ]
  • Владельцу сертификата не нужно предоставлять свой закрытый ключ серверам CDN, а необходимо периодически предоставлять им делегированные учетные данные. Таким образом, владелец сертификата может сохранять исключительный контроль над своим закрытым ключом (и даже хранить его в HSM ) при использовании сторонних серверов CDN.
  • У делегированных учетных данных есть собственный ключ, поэтому они могут экспериментировать с новыми алгоритмами, такими как Ed25519 . Это может повысить гибкость шифрования .

Ссылки

[ редактировать ]
  1. ^ Барнс, Ричард; Айенгар, Субодх; Рескорла, Эрик; Салливан, Ник. «Делегированные учетные данные для TLS» . www.tools.ietf.org . Проверено 21 июня 2020 г.
  2. ^ «Делегированные учетные данные для TLS» . Блог Cloudflare . 1 ноября 2019 года . Проверено 21 июня 2020 г.
  3. ^ Гузман, Алекс; Некриц, Кайл; Айенгар, Субодх (1 ноября 2019 г.). «Делегированные учетные данные: улучшение безопасности TLS» . Фейсбук Инжиниринг . Проверено 21 июня 2020 г.
  4. ^ Джейкобс, Кевин; Джонс, Джей Си; Мерве, Тила ван дер (ноябрь 2019 г.). «Проверка делегированных учетных данных для TLS в Firefox» . Блог о безопасности Mozilla . Проверено 21 июня 2020 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Delegated_credential&oldid=1236563750"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: c366f1d58ac485058b179fc66ff0476b__1721894760
URL1:https://arc.ask3.ru/arc/aa/c3/6b/c366f1d58ac485058b179fc66ff0476b.html
Заголовок, (Title) документа по адресу, URL1:
Delegated credential - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)