موزیلا با همکاری فیسبوک، کلودفلر و دیگر اعضای مجمع IETF مشخصات فنی یک پروتکل رمزنگاری به نام «Delegated Credentials for TLS» یا «نمایندگی اعتبارنامه برای TLS» را اعلام کردند.
این پروتکل یک راه سادهسازی شده برای پیادهسازی گواهینامههای «کوتاه مدت» یا «short-lived» بدون قربانی کردن اعتبار اتصالات امن است.
هدف این افزونه جدید پروتکل TLS بطور خلاصه، جلوگیری از استفاده از گواهینامههای دزدیده شده با کاهش «حداکثر مدت زمان اعتبار» آنها به محدودهی زمانی کوچکتر مثلا چند ماه یا حتی چند ساعت است.
چرا به «نمایندگی اعتبار نامه برای TLS» احتیاج داریم؟
درحال حاضر اگر گواهینامه سایتی قبل از تاریخ انقضا به خطر بیافتد (مثل دزیده شدن گواهینامه و کلید خصوصی) تنها گزینهی مسئول سایت مذکور، تماس با CA(Certificate Authority) مربوطه برای ابطال گواهینامهی به سرقت رفته و درخواست برای گواهینامهی جدید است. اگرچه مکانسیمهای ابطال گواهینامه این چنینی در عمل بخوبی کار نمیکنند.
بطور ایده آل، مرورگرها باید سریعاً گواهینامههایی که دیگر معتبر نیستند شناسایی کرده و کاربران را از اتصال به این سرورهای ناامن بازدارند؛ اما از آنجایی که استعلام اعتبار گواهینامه از سرور یک CA بار ترافیکی زیادی به همراه دارد و کارایی را تحت تاثیر قرار میدهد برخی مرورگرها وضعیت اعتبار گواهینامهها را برای مدتی cache کرده یا اگر جواب سرور CA به موقع به مرورگر نرسد یا مشکلی در اتصال به CA وجود داشته باشد گواهینامه را همچنان معتبر در نظر میگیرند. این به معناست که مهاجم در بازهی زمانی که گواهینامهی به سرقت رفته باطل میشود تا زمانی که مرورگر متوجه این ابطال شود و سایت را مسدود کند امکان حمله به سایت مذکور را دارد.
«نمایندگی اعتبارنامه برای TLS» چگونه کار میکند؟
برای حل مشکل مطرح شده، اعضای مجمع IETF پروتکل رمزنگاری جدید Delegated Credentials for TLS را معرفی کردند که بازه زمانی مدت اعتبار و مورد اطمینان بودن گواهینامه را بالانس میکند.
این پروتکل این امکان را به سازمانها و صاحبان وبسایتها میدهد تا بتوانند گواهینامهی جدیدی بدون نیاز به مراجعه به CA با مدت اعتبار حداکثر 7 روز به خود اختصاص دهند.
در سمت کاربر مرورگرها و نرم افزارهایی که از این پروتکل جدید پشتبانی میکنند از کلید عمومی «کوتاه مدت نمایندگی اعتبارنامه[1]» وبسایت برای برقراری اتصال امن TLS با سرور استفاده خواهند کرد. پس بجای استفاده از کلید خصوصی مربوط به گواهینامه برای همهی سرورها، سازمانها میتوانند نمایندگی اعتبارنامهی داخلی را تولید و استفاده کنند.
بنابراین وقتی با مرورگری که از این پروتکل استفاده کرده است از یک وبسایت بازدید شود، بجای استفاده از گواهینامه معمول TLS، سرور یک توکن کوتاه مدت برای احراز هویت به مرورگر میدهد که زنجیرهی اطمینان (chain of trust) هم آن را معتبر میداند چراکه نمایندگی اعتبارنامهها توسط خود CA تولید میشود.
پشتیانی از نمایندگی اعتبارنامه
موزیلا در آخرین نسخهی مرورگر وب خود از «نمایندگی اعتبارنامه» پشتیبانی میکند.
اگرچه درحال حاضر این ویژگی بصورت پیشفرض فعال نیست، کاربران میتوانند با مراجعه به تنظیمات مرورگر firefox خود با فعال بودن مود تاریک با جستجوی عبارت “security.tls.enable_delegated_credentials” این ویژگی را فعال کنند.
منبع
[1]
