أوراق التفويض الممنوحة لـ TLS

الإنهاء أ TLS يتطلب الاتصال استخدام المفتاح الخاص للشهادة. نتيجة لذلك ، يجب تخزين المفتاح الخاص في كل خادم تستخدمه إحدى الخدمات. تعد حماية سرية هذا المفتاح الخاص أمرًا بالغ الأهمية للتشغيل السلس لنظام البنية التحتية للمفتاح العام. يمكن للكيان الذي يمتلك المفتاح الخاص تنفيذ هجمات man-in-the-middle لبقية صلاحية الشهادة. عادةً ، عندما يقوم أحد المهاجمين بخرق مفتاح خاص ، يتم إبطال الشهادة المرتبطة بهذا المفتاح ، ويتم إصدار واحدة جديدة. ومع ذلك ، بالنسبة للمؤسسات التي تستخدم خوادم متعددة ، مثل Facebook أو

"للخوادم التي تشير إلى أنها مصرح لها بذلك إنهاء TLS الاتصال.

"آلية تفويض محدودة تسمح ب TLS يقوم الأقران بإصدار بيانات الاعتماد الخاصة به في نطاق الشهادة الصادرة عن مرجع مصدق خارجي. تسمح بيانات الاعتماد هذه فقط لمتلقي التفويض بالتحدث عن الأسماء التي صرّح بها المرجع المصدق. "

تم تصميم أوراق الاعتماد المفوضة بغرض زيادة الأمان. ومن ثم ، فإنهم يمتلكون سمات معينة ، على النحو المحدد في مسودة IEFT.

• فترة الصلاحية القصوى لبيانات الاعتماد المفوضة هي سبعة (7) أيام لتقليل التعرض في حالة اختراق المفتاح الخاص. لا تعني فترة الصلاحية القصيرة أنه ينبغي الاستخفاف بأمان أوراق الاعتماد المفوضة. كما ينبغي أن تنطبق التدابير المتخذة لحماية المفتاح الخاص لشهادة الكيان النهائي على حماية البلدان النامية. وتشمل هذه عناصر التحكم في نظام الملفات ، والأمن المادي ، ووحدات أمان الأجهزة ، من بين أمور أخرى. بالإضافة إلى ذلك ، يجب استخدام بيانات الاعتماد المفوضة فقط بين الأطراف التي تشترك في علاقة ثقة مع بعضها البعض.
• أوراق الاعتماد المفوضة هي ملزمة بالتشفير إلى شهادة الكيان النهائي. على وجه التحديد ، يتم استخدام المفتاح الخاص لشهادة الكيان النهائي لحساب توقيع DC عبر خوارزمية محددة بواسطة بيانات الاعتماد. يربط التوقيع فعليًا وحدة تحكم المجال بأسماء شهادة الكيان النهائي.
• يتم إصدار بيانات الاعتماد المفوضة من قبل العميل ، وهو أسهل بكثير من إنشاء شهادة موقعة من قبل CA. الشهادات الصادرة عن العميل مفيدة أيضًا في الحفاظ على عمل الخدمة حتى إذا كان لدى المرجع المصدق وقت تعطل. أيضًا ، يمكن للمؤسسات تجربة الخوارزميات غير المدعومة رسميًا من قبل المرجع المصدق (CA) دون المساس بأمان شهادة الكيان النهائي. 
• أوراق الاعتماد المفوضة لها فترات صلاحية قصيرة بحكم تعريفها. عند تعيين عمر بيانات الاعتماد المفوضة ، يجب أن تأخذ الخوادم في الاعتبار انحراف ساعة العميل لتجنب رفض الشهادات. يعد انحراف ساعة العميل مهمًا أيضًا للشهادة الأصلية ولكنه مهم للمفتاح الخاص المفوض قصير العمر. يجب أن يؤخذ انحراف ساعة العميل في الاعتبار في كل من بداية فترات الصلاحية ونهايتها.
• لا توجد آلية إبطال لأوراق الاعتماد المفوضة. تصبح غير صالحة بمجرد انتهاء فترة الصلاحية. ومع ذلك ، فإن إبطال المفتاح الخاص لشهادة الكيان النهائي (الذي يتم استخدامه لتوقيع بيانات الاعتماد المفوضة) يؤدي ضمنيًا إلى إبطال الاعتماد المفوض. 
• تم تصميم أوراق الاعتماد المفوضة لاستخدامها في TLS 1.3 أو لاحقا. هناك ثغرة معروفة عندما TLS 1.2 تدعم الخوادم تبادل مفاتيح RSA ، مما يسمح بتزوير توقيع RSA على رسالة عشوائية. افترض أن المهاجم قادر على تزوير توقيع. في هذه الحالة ، يمكنهم إنشاء بيانات اعتماد مفوضة مزورة لفترة الصلاحية الكاملة لشهادة الكيان النهائي. هذه الثغرة الأمنية ليست موجودة في تطبيقات TLS 1.3 أو أحدث. أيضًا ، لا تؤثر الثغرة الأمنية على الشهادات ذات المنحنى البيضاوي التشفير ، والتي SSL.com يوفر. 
• يمكن للمؤسسات استخدام واجهات برمجة التطبيقات للإصدار الآلي الحالية مثل ACME لتقديم بيانات الاعتماد المفوضة. في هذه الحالة ، فإن الخوارزميات المستخدمة هي فقط تلك التي يدعمها المرجع المصدق ، ولكن هذه الممارسة تقلل من إمكانية التنازلات الرئيسية. SSL.com يؤيد هذه الممارسة. 
• لا يمكن إعادة استخدام بيانات الاعتماد المفوضة في سياقات متعددة. تحسب الأطراف المصدرة التوقيع باستخدام سلسلة سياق فريدة للدور المقصود (العميل أو الخادم) ، مما يجعل استخدام نفس بيانات الاعتماد المفوضة لمصادقة العميل والخادم أمرًا مستحيلًا. 

يستخدم ECDSA لتنفيذ PKI مهدى إلى العملاء ، أوراق الاعتماد المفوضة الصادرة عن عملائنا ليست عرضة لهجمات تزوير التوقيع ، كما هو موضح أعلاه.