Tăng cường bảo mật nhờ TLS Delegated Credentials

Mozilla hợp tác cùng Facebook, Cloudflare và các thành viên khác trong cộng đồng IETF công bố thông số kĩ thuật cho một giao thức mã hóa mới có tên là “TLS Delegated Credentials“.

Tiêu chuẩn mới này sẽ hoạt động như một phần mở rộng của TLS, là một giao thức mã hóa làm nền tảng cho giao thức HTTPS được sử dụng để tải các trang web bên trong trình duyệt thông qua kết nối được mã hóa.

Tại sao phải sử dụng TLS Delegated Credentials?

Trước đây, trong trường hợp các chứng chỉ bị xâm phạm trước ngày hết hạn, chủ sở hữu trang web có thể gửi yêu cầu đến cơ quan chứng nhận thu hồi chứng chỉ bị đánh cắp và xin cấp chứng chỉ mới với khóa riêng khác. Tuy nhiên cơ chế này đã bị phá vỡ trong thực tế khi các kẻ tấn công lợi dụng khoản thời gian thu hồi và xin cấp chứng chỉ mới cho khách hàng để xâm nhập và phá vỡ tính bảo mật của website đó.

Chính vì điều này mà các công ty công nghệ lớn trong đã có Facebook đang không ngừng nổ lực rút ngắn thời gian xác nhận để tránh khỏi những cuộc tấn công của các kẻ xâm nhập. Đồng thời giúp tăng cường bảo mật bằng cách giảm thời gian kẻ tấn công tiềm năng có thể sử dụng chứng chỉ bị xâm nhập.  

Để giải quyết được các vấn đề trên, các thành viên cộng đồng IETF hiện đã đề xuất thông tin xác thực được ủy quyền cho TLS, một giao thức mới cân bằng sự đánh đổi giữa tuổi thọ và độ tin cậy.

Thông tin được ủy quyền cho TLS cho phép các công ty kiểm soát một phần quá trình ký chứng chỉ mới cho chính họ với thời gian hiệu lực không quá 7 ngày và không hoàn toàn phụ thuộc vào cơ quan cấp chứng chỉ.     

Hiện nay các doanh nghiệp có thể xác thực thông tin ủy quyền TLS trong thư viện Fizz, các mã nguồn của Google là OpenSSL, BoringSSL , phiên bản trình duyệt web Firefox mới nhất.

Vai trò của TLS Delegated Credentials

Khi bạn kết nối với trang web được bảo vệ bằng HTTPS, máy chủ sẽ cung cấp chứng chỉ TLS/SSL cho trình duyệt web của bạn để xác nhận danh tính trước khi trao đổi bất kỳ thông tin nào bao gồm mật khẩu và các dữ liệu nhạy cảm khác. Tuy nhiên trong thời gian sử dụng, các chứng chỉ có thể sẽ bị hỏng trước ngày hết hạn với nhiều lý do.

Một ví dụ cụ thể cho vấn đề này là việc private key của các chứng chỉ có thể bị đánh cắp hoặc chứng chỉ có thể được cấp một cách gian lận, cho phép kẻ tấn công mạo danh máy chủ mục tiêu hoặc theo dõi các kết nối được mã hóa thông qua một cuộc tấn công trung gian.

Lúc này TLS Delegated Credentials sẽ đóng vai trò trong việc ngăn chặn việc lạm dụng các chứng chỉ bị đánh cắp bằng cách giảm thời gian hiệu lực tối đa của chúng xuống một khoảng thời gian rất ngắn, chẳng hạn như vài ngày thậm chí vài giờ mà không làm giảm độ tin cậy của các kết nối an toàn.

Lưu ý: Tiện ích mở rộng TLS chỉ được phát triển riêng cho các thiết lập trang web lớn, chẳng hạn như Facebook hoặc cho các trang web sử dụng mạng phân phối nội dung CDN, như Cloudflare.

TLS Delegated Credentials hoạt động như thế nào?

Facebook

Một trang web lớn như Facebook có hàng ngàn máy chủ trải rộng trên toàn thế giới. Để hỗ trợ lưu lượng HTTPS trên tất cả Facebook phải đặt một bản sao private key cho từng chứng chỉ TLS/SSL cho mỗi máy chủ.

Đây được xem là một thiết lập khá nguy hiểm vì nếu kẻ tấn công hack một máy chủ và đánh cắp private key của họ, kẻ tấn công có thể mạo danh máy chủ Facebook và chặn lưu lượng người dùng cho đến khi chứng chỉ bị đánh cắp hết hạn.

Cloudflare

Trên Cloudflare cũng tương tự, với bất cứ ai sử dụng HTTPS trên cơ sở hạ tầng của Cloudflare đều phải tải khóa riêng TLS/SSL của họ lên dịch vụ Cloudflare, sau đó phân phối nó tới hàng ngàn máy chủ trên toàn thế giới.

Tiện ích mở rộng của TLS Delegate Credentials cho phép sở hữu trang web tạo các TLS private key tồn tại trong thời gian ngắn (được gọi là thông tin ủy nhiệm) mà họ có thể triển khai cho các thiết lập đa máy chủ này, thay vì khóa riêng TLS thực. GIúp phòng tránh rủi ro bị rò rỉ chứng chỉ thực trên các máy chủ phân phối.

Các độc giả có thể tham khảo thông tin về các sản phẩm SSL của AZDIGI tại đây: https://azdigi.com/chung-chi-ssl/.

9 Shares:
Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Có thể bạn cần xem