استاندارد جدید فیسبوک و موزیلا برای ایمنسازی سایتها
شرکتهای فیسبوک، موزیلا و Cloudflare امروز مشخصات فنی جدیدی را با نام TLS Delegated Credentials منتشر کردند که تحت سیستم استانداردسازی در «کارگروه مهندسی اینترنت» (IETF) توسعه میابد.
این استاندارد جدید در قالب یک افزونه برای سیستم TLS عمل میکند. سیستم TLS در اصل یک پروتکل رمزنگاری حاوی اطلاعات پروتکل معروفتر HTTPS است که برای بارگذاری سایتها داخل مرورگرهای اینترنتی از طریق سیستمهای اتصال رمزگذاری شده مورد استفاده قرار میگیرد.
افزونه TLS Delegated به طور خاص برای راهاندازی سایتهای اینترنتی بزرگ نظیر فیسبوک، یا سایتهای مبتنی بر شبکههای تحویل محتوا (CDN) فعالیت میکنند و از جمله آنها میتوان به Cloudflare اشاره کرد راهاندازی شدهاند.
به عنوان مثال، یک سایت اینترنتی بزرگ نظیر فیسبوک هزاران سرور را در سراسر جهان در اختیار گرفته است. به منظور پشتیبانی از ترافیک HTTPS در تمامی این سایتها، فیسبوک میبایست یک کپی از تمامی کلیدهای خصوصی مربوط به گواهیهای TLS را روی هر کدام از این سرورها در اختیار بگیرد.
این راهاندازی یک فرآیند خطرناک است. زیرا اگر یک هکر بتواند یکی از سرورها را هک کند و کلیدهای خصوصی TLS را در است بگیرد، هکر مذکور میتواند با جعل هویت وارد تمامی سرورهای فیسبوک شود و تا زمان انقضای گواهی سرقت شده، ترافیک کاربران را رهگیری کند.
فرآیند مشابه همچنین در مورد مراکز ارایه دهنده سرویسهای CDN از جمله Cloudflare دنبال میشود. هر فردی که میزبانی یک سایت اینترنتی مبتنی بر HTTPS را روی زیرساختهای Cloudflare در اختیار بگیرد، میبایست کلیدهای خصوصی TLS خود را روی سرویس Cloudflare ارایه دهد و سپس این کلیدهای خصوصی روی هزاران سرور این شرکت در سراسر جهان منتشر میشوند.
افزونه TLS Delegate Credentials به صاحبان سایتهای اینترنتی امکان میدهد تا کلیدهای خصوصی کوتاه مدت TLS را راهاندازی کنند. این کلیدها میتوانند به جای کلیدهای خصوصی واقعی در چند سرور مختلف مورد استفاده قرار گیرند.