O Facebook, Mozilla e Cloudflare anunciaram hoje uma nova especificação técnica chamada Credenciais Delegadas TLS, atualmente em processo de padronização na Internet Engineering Task Force (IETF). O novo padrão funcionará como uma extensão do TLS. Este é um protocolo criptográfico subjacente ao protocolo HTTPS mais conhecido. É usado para carregar sites em navegadores por meio de uma conexão criptografada.
A extensão TLS Delegate Credentials foi desenvolvida especificamente para configurações de sites grandes, como o Facebook, ou para sites que usam CDNs (redes de entrega de conteúdo), como o Cloudflare.
COMO FUNCIONAM AS CREDENCIAIS DE DELEGAÇÃO DO TLS
Por exemplo, um grande site como o Facebook tem milhares de servidores espalhados por todo o mundo. Para oferecer suporte ao tráfego HTTPS, o Facebook precisa colocar uma cópia da chave privada do certificado TLS em cada uma.
Esta é uma configuração perigosa. Se um hacker invadir um servidor e roubar a chave privada TLS, ele poderá se passar por servidores do Facebook e interceptar o tráfego do usuário até que o certificado roubado expire.
A mesma coisa também é válida com serviços CDN como o Cloudflare. Qualquer pessoa que hospeda um site HTTPS na infraestrutura do Cloudflare deve carregar sua chave privada TLS no serviço do Cloudflare, que o distribui para milhares de servidores em todo o mundo.
A extensão TLS Delegate Credentials permite que os proprietários do site criem chaves privadas TLS de curta duração (chamadas credenciais delegadas) que eles podem implantar nessas configurações de vários servidores, em vez da chave privada TLS real.
As credenciais delegadas podem durar até sete dias e podem ser trocadas automaticamente quando expirarem.
CREDENCIAIS DELEGADAS TLS DIMINUEM CHANCE DE ATAQUE DO MITM
A melhoria de segurança mais importante que vem com essa nova extensão TLS é que, se, nos piores cenários, um invasor conseguir invadir um servidor, a chave privada roubada (na verdade uma credencial delegada) não funcionará por mais do que alguns dias, em vez de semanas, meses ou até um ano, como acontece agora.
Facebook, Mozilla e Cloudflare anunciam novo padrão de credenciais delegadas TLS
Você pode ler explicações técnicas mais detalhadas sobre as novas extensões de credenciais delegadas TLS nos blogs do Facebook, Mozilla e Cloudflare.
A especificação preliminar do IETF está disponível aqui . As credenciais delegadas do TLS serão compatíveis com o protocolo TLS v1.3 e posterior.