Słynna firma Mozilla, twórca przeglądarki Mozilla Firefox, we współpracy z siecią społecznościową Facebook, słynnym hostem Cloudfare i innymi członkami społeczności IETF (Internet Engineering Task Force), ogłosiła specyfikacje techniczne nowego protokołu o nazwie „ Autoryzowane poświadczenia dla TLS lub znany również jako autoryzowane poświadczenia TLS.
Co to są autoryzowane poświadczenia TLS?
Jest to nowy, prosty sposób tworzenia tymczasowych certyfikatów bez poświęcania zaufania bezpiecznych połączeń, rozszerzenie obecnego protokołu TLS, który ma zapobiegać niewłaściwemu wykorzystaniu skradzionych certyfikatów. Aby to osiągnąć, chodzi o zminimalizowanie ważności certyfikatów, które będą ważne nawet przez kilka godzin, aby chronić użytkowników.
Jak dziś działa TLS
Aby zrozumieć, jak będą działać nowe poświadczenia TLS, musimy przyjrzeć się, jak działają one dzisiaj. Prawie wszystkie obecnie witryny internetowe używają certyfikatów TLS, więc Twoje połączenie jest bezpieczne przy użyciu protokołu HTTPS.
Aby strona internetowa uzyskała certyfikat SSL / TLS zintegrowała się z serwerem sieciowym i aby przeglądarka klienta go rozpoznała, CA (Urząd Certyfikacji) musi wystawić i podpisać cyfrowo ten certyfikat, który jest ważny jako ogólna zasada dla jednego lub dwa lata. Są wyjątki, takie jak urząd certyfikacji Let’s Encrypt, który wydaje certyfikaty tylko na 3 miesiące, ale dzięki zautomatyzowanemu systemowi można je bardzo łatwo odnowić. Kiedy łączymy się z witryną za pomocą protokołu HTTPS, serwer sieciowy udostępnia przeglądarce certyfikat SSL/TLS w celu weryfikacji jej tożsamości przed wymianą informacji.
Dlaczego potrzebujemy autoryzowanych poświadczeń TLS?
Więc pytanie, które sobie zadasz, brzmi: dlaczego potrzebujemy autoryzowanych poświadczeń TLS? Odpowiedź jest taka, że jeśli certyfikat zostanie naruszony przed wygaśnięciem, wszystko, co webmaster zarządzający zaatakowaną witryną może zrobić, to poprosić urząd certyfikacji o unieważnienie skradzionego certyfikatu i utworzenie z nim nowego klucza publicznego/prywatnego. Para.
Jednak w dzisiejszych czasach mechanizmy unieważniania certyfikatu, który wyciekł, nie są najlepsze. Idealnie dla każdego, przeglądarki mogą natychmiast wykryć, czy certyfikat nie jest już ważny lub bezpieczny, a przeglądarka automatycznie blokuje dostęp. Proces ten nie jest jednak natychmiastowy i możliwe, że w okresie pomiędzy unieważnieniem certyfikatu a powiadomieniem magazynu certyfikatów wprowadziliśmy stronę internetową z fałszywym certyfikatem cyfrowym, co wpłynie na nasze bezpieczeństwo i prywatność.
Wiele firm i stron internetowych testuje certyfikaty TLS, które mają mniej niż „normalną” ważność przez jakiś czas, aby czas ekspozycji był jak najkrótszy. Niektóre z firm, które to robią, to Facebook, więc bezpieczniej jest przeglądać sieć społecznościową.
Problem polega jednak na tym, że CA jest organizacją odrębną od wszystkich oddziałów i strona, która korzysta z tego krótkotrwałego systemu certyfikacji, powinna oczywiście znacznie częściej uzyskiwać nowe certyfikacje, co obecnie nie ma miejsca. że strony stale zmieniają certyfikaty co kilka godzin.
Rozwiązanie dla autoryzowanych poświadczeń TLS
Rozwiązaniem tego problemu są autoryzowane poświadczenia TLS przy użyciu nowego protokołu kryptograficznego, który równoważy bilans życia z niezawodnością. Dzięki autoryzowanym poświadczeniom TLS witryny (firmy) mogą częściowo kontrolować proces podpisywania nowych certyfikatów o okresie ważności 7 dni i dlatego nie są zależne od Urzędu Certyfikacji CA.
Komentarz autorstwa ça marche
Autoryzowane poświadczenia umożliwiają posiadaczom zarejestrowanych certyfikatów używanie tych certyfikatów jako swego rodzaju urzędu podcertyfikacji do podpisywania podcertyfikatu, do którego urząd certyfikacji jest delegowany przez rzeczywisty certyfikat podmiotu końcowego. Łatwym sposobem na zrozumienie jest to, że firma może uzyskać podpisany certyfikat ze swojego urzędu certyfikacji i za jego pośrednictwem utworzyć i podpisać certyfikat ważny do siedmiu dni. W przypadku użytkownika witryny przeglądarki zgodne z nowym protokołem będą używać krótkoterminowego klucza uwierzytelniania domeny publicznej witryny w celu ustanowienia bezpiecznego połączenia TLS z serwerem sieciowym.
Różnica polega więc na tym, że zamiast stosować rzeczywisty klucz prywatny skojarzony z certyfikatem na wszystkich serwerach, organizacje mogą teraz tworzyć, wdrażać i wystawiać wewnętrzne poświadczenia. Ulepszenie wynika z faktu, że firmie zajmującej się witryną internetową łatwiej jest tworzyć autoryzowane poświadczenia z certyfikatu podpisanego przez CA.
Kiedy łączymy się z witryną internetową z przeglądarką, która obsługuje autoryzowane dane uwierzytelniające, nie użyje ona „normalnego” certyfikatu TLS, ale serwer dostarczy przeglądarce krótki token (hasło).
Kto jest obecnie przypisany?
Sieć społecznościowa Facebook obsługuje już rozpoznane identyfikatory. Biblioteki szyfrowania OpenSSL i BoringSSL są również kompatybilne z autoryzowanymi poświadczeniami TLS. Mozilla w przeglądarce Firefox obsługuje również autoryzowane dane uwierzytelniające w swojej najnowszej wersji. Jednak obsługa tej funkcji nie jest domyślnie włączona.
Większość witryn wkrótce przyjmie ten protokół, ponieważ zostanie on przyjęty jako standard przez IETF.
Jak włączyć autoryzowane dane uwierzytelniające w Firefoksie?
Jak wspomniano, poświadczenia nie są domyślnie włączone w Mozilla Firefox, chociaż są w pełni kompatybilne z najnowszą wersją. Aby użyć autoryzowanych poświadczeń, musimy wykonać następujące kroki:
- Otwórz przeglądarkę Mozilla Firefox i wprowadź następujące informacje w pasku wyszukiwania: o: konfiguracja
- Kliknij Akceptuję ryzyko.
- Pojawi się lista opcji, których musimy szukać security.tls.enable_delegated_credentials
- Musimy kliknąć dwukrotnie security.tls.enable_delegated_credentials i zmień wartość na True
- Po modyfikacji zamknij przeglądarkę i otwórz ją ponownie.
Aby sprawdzić, czy działa poprawnie, możemy przejść do zastaw Następny który pokaże nam, czy działa poprawnie.
Wnioski o autoryzowane prawa do TLS
Autoryzowane poświadczenia dla TLS to przełom w bezpieczeństwie i niezawodności dla użytkowników i firm. Dzięki temu, choć nie eliminujemy możliwości sfałszowania certyfikatu, możemy być bardziej pewni, ponieważ po zidentyfikowaniu problemu szybko zostanie wydany nowy certyfikat, dzięki czemu zapewniona jest poufność.
Jeśli używasz Mozilla Firefox, wybierz opcję ” Autoryzowane poświadczenia dla TLS „Więc kiedy strony internetowe zaczynają z niego korzystać, jesteś w pełni przygotowany. Mamy nadzieję, że w krótkim okresie certyfikaty te zastąpią obecne certyfikaty, które, choć bezpieczne, mogą wprowadzać użytkowników w błąd, jeśli zostaną naruszone.
Zalecamy, abyś miał dostęp Blog Cloudflare gdzie o tym mówią, więc przez Telefónica Blogthinkbig gdzie opowiada o tym Sergio De Los Santos.