Actuellement, Facebook, Cloudflare et Mozilla utilisent une extension TLS ensemble. En cours d’adoption en tant que norme par l’IETF, le projet de délégation de pouvoirs doit tirer parti des attaques d’intermédiaires permettant aux pirates de prendre le contrôle des certificats.

Largement utilisé et reconnu pour protéger les connexions Web, le protocole de cryptage TLS est faillible. Pour résoudre les problèmes de sécurité qui permettent à un tiers malveillant de prendre le contrôle des certificats de sécurité, Facebook, Cloudflare et Mozilla ont uni leurs forces. Appelé pouvoirs délégués, ce projet est en cours de validation par l’IETF (Internet Engineering Task Force) en vue de sa normalisation. Ces identificateurs délégués sont plus flexibles et permettent aux opérateurs d'attribuer des informations d'identification déléguées distinctes à chaque serveur avec une courte période de validité, à la différence d'un certificat de clé privée classique.

"Etant donné que les informations d'identification déléguées ont leur propre clé publique, un serveur peut également expérimenter de nouveaux algorithmes de clé publique pour TLS (y compris les clés publiques Ed25519) avant même que les autorités de certification puissent la prendre en charge." , a expliqué Facebook. "Dans les implémentations de serveurs modernes, un certificat pourrait être mis en place et distribué dans le monde entier sur des milliers de serveurs. Il est important de garantir leur sécurité afin d'empêcher les pirates potentiels de prendre le contrôle d'un certificat, ce qui leur permettrait de mener une attaque à l'homme. dans le trafic lié au serveur.

Un meilleur compromis entre sécurité et fiabilité.

Les informations d'identification déléguées permettent à un serveur de mieux équilibrer le compromis entre sécurité et fiabilité. "Un serveur génère une nouvelle structure d'informations d'identification déléguée contenant une clé publique et un délai d'expiration allant jusqu'à quelques heures. Vous pouvez ensuite utiliser votre certificat signé obtenu auprès d'une autorité de certification pour signer des informations d'identification déléguées. ils sont générés et signés par un serveur, il n'est pas nécessaire de contacter l'autorité de certification chaque fois que vous devez créer d'autres informations d'identification déléguées ", déclare Facebook.

X
COMMANDE