استاندارد جدید فیسبوک و موزیلا برای ایمن‌سازی سایت‌ها

شرکت‌های فیسبوک، موزیلا و Cloudflare امروز مشخصات فنی جدیدی را با نام TLS Delegated Credentials منتشر کردند که تحت سیستم استانداردسازی در «کارگروه مهندسی اینترنت» (IETF) توسعه میابد.

این استاندارد جدید در قالب یک افزونه برای سیستم TLS عمل می‌کند. سیستم TLS در اصل یک پروتکل رمزنگاری حاوی اطلاعات پروتکل معروف‌تر HTTPS است که برای بارگذاری سایت‌ها داخل مرورگرهای اینترنتی از طریق سیستم‌های اتصال رمزگذاری شده مورد استفاده قرار می‌گیرد.

افزونه TLS Delegated به طور خاص برای راه‌اندازی سایت‌های اینترنتی بزرگ نظیر فیسبوک، یا سایت‌های مبتنی بر شبکه‌های تحویل محتوا (CDN) فعالیت می‌کنند و از جمله آنها می‌توان به Cloudflare اشاره کرد راه‌اندازی شده‌اند.

به عنوان مثال، یک سایت اینترنتی بزرگ نظیر فیسبوک هزاران سرور را در سراسر جهان در اختیار گرفته است. به منظور پشتیبانی از ترافیک HTTPS در تمامی این سایت‌‌ها، فیسبوک می‌بایست یک کپی از تمامی کلیدهای خصوصی مربوط به گواهی‌های TLS را روی هر کدام از این سرورها در اختیار بگیرد.

این راه‌اندازی یک فرآیند خطرناک است. زیرا اگر یک هکر بتواند یکی از سرورها را هک کند و کلیدهای خصوصی TLS را در است بگیرد، هکر مذکور می‌تواند با جعل هویت وارد تمامی سرورهای فیسبوک شود و تا زمان انقضای گواهی سرقت شده، ترافیک کاربران را رهگیری کند.

فرآیند مشابه همچنین در مورد مراکز ارایه دهنده سرویس‌های CDN از جمله Cloudflare دنبال می‌شود. هر فردی که میزبانی یک سایت اینترنتی مبتنی بر HTTPS را روی زیرساخت‌های Cloudflare در اختیار بگیرد، می‌بایست کلیدهای خصوصی TLS خود را روی سرویس Cloudflare ارایه دهد و سپس این کلیدهای خصوصی روی هزاران سرور این شرکت در سراسر جهان منتشر می‌شوند.

افزونه TLS Delegate Credentials به صاحبان سایت‌های اینترنتی امکان می‌دهد تا کلیدهای خصوصی کوتاه‌ مدت TLS را راه‌اندازی کنند. این کلیدها می‌توانند به جای کلیدهای خصوصی واقعی در چند سرور مختلف مورد استفاده قرار گیرند.