Mozilla, Cloudflare e Facebook apresentaram a extensão TLS

Para resolver o problema do longo período de validade dos certificados emitidos pelas autoridades de certificação, a Mozilla, Cloudflare e Facebook apresentaram a extensão TLS.

Os certificados emitidos pelas autoridades de certificação têm um longo período de validade, o que dificulta a organização do acesso ao site por meio de um serviço de terceiros, em cujo nome uma conexão segura deve ser estabelecida, uma vez que a transferência do certificado do site para um serviço externo cria riscos de segurança adicionais.

Mozilla, Cloudflare e Facebook apresentaram a extensão TLS
Mozilla, Cloudflare e Facebook apresentaram a extensão TLS

Mozilla, Cloudflare e Facebook apresentaram a extensão TLS

Por conta disso, a Mozilla, Cloudflare e Facebook anunciaram em conjunto a nova extensão TLS Delegated Credentials, que resolve o problema dos certificados, organizando o acesso a um site por meio de uma rede de entrega de conteúdo.

A nova extensão também pode ser útil para sites cujo trabalho é fornecido por uma grande infraestrutura distribuída com um grande número de balanceadores de carga.

As credenciais delegadas ajudarão a evitar o armazenamento de cópias das chaves privadas dos certificados primários em cada nó de upload de conteúdo.

Com a abordagem clássica, um ataque bem-sucedido a qualquer um dos servidores envolvidos na entrega do tráfego HTTPS levará ao comprometimento de todo o certificado.

No caso da transferência de chaves privadas para redes de entrega de conteúdo, há ameaças de perda de dados como resultado de sabotagem por parte da equipe, ações de serviços especiais ou comprometimento da infraestrutura da CDN.

Se a perda de senha passar despercebida, quem acessa os códigos pode inserir silenciosamente o tráfego do site (MITM) por um longo tempo, pois o período de validade dos certificados é calculado em meses e anos.

O Cloudflare pode usar servidores de chaves especiais que funcionam no lado do proprietário do site para proteger as chaves de certificado, mas trabalhar nesse modo gera atrasos significativos na entrega do tráfego, reduz a confiabilidade devido à aparência de um link adicional e requer o implantação de infraestrutura sofisticada.

A extensão TLS proposta introduz uma chave privada intermediária adicional, cuja validade é limitada a horas ou vários dias (não mais que 7 dias).

Essa chave é gerada com base no certificado emitido pelo centro de certificação e permite manter em segredo a chave privada do certificado original dos serviços de entrega de conteúdo, fornecendo apenas um certificado temporário com um prazo de validade curto.

Para evitar problemas de acesso assim que a chave intermediária atingir o final de sua vida útil, uma tecnologia de atualização automática é implementada no servidor TLS de origem.

Para gerar, você não precisa executar operações manuais ou executar scripts: um servidor autorizado que precise de uma chave privada, antes que a vida útil da chave anterior expire, acesse o servidor TLS do site e gere uma chave intermediária para o próximo curto período de tempo.

Os navegadores que suportam as credenciais da extensão TLS perceberão esses certificados derivados como confiáveis.

Por exemplo, o suporte à extensão especificada já foi adicionado às compilações noturnas e às versões beta do Firefox e pode ser ativado em about:config alterando a configuração “security.tls.enable_delegated_credentials”.

Em meados de novembro, entre uma certa porcentagem de usuários das versões de avaliação do Firefox, também está planejada um experimento “TLS Delegated Credentials Experiment”, na qual uma solicitação de teste será enviada ao servidor Cloudflare DC para testar a qualidade do nova extensão TLS.

As credenciais delegadas do TLS também são integradas à biblioteca Fizz com a implementação do TLS 1.3.

A especificação TLS Delegated Credentials foi enviada ao comitê da IETF (Internet Engineering Task Force), que está desenvolvendo os protocolos e a arquitetura da Internet, e está na fase de rascunho, alegando ser o padrão da Internet.

A extensão pode ser usada apenas com o TLS v1.3. Para gerar as chaves intermediárias, você deve obter um certificado TLS, que inclui a extensão especial X.509, que até agora é compatível apenas com a autoridade de certificação DigiCert.

Se você quiser saber mais sobre isso, verifique o seguinte link.

O que está sendo falado no blog

No Post found.

Post Views: 298
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.