Sona erme TLS bağlantı, bir sertifikanın özel anahtarının kullanılmasını gerektirir. Sonuç olarak, özel anahtarın bir hizmet tarafından kullanılan her bir sunucuda saklanması gerekir. Bu özel anahtarın gizliliğinin korunması, bir Açık Anahtar Altyapısı şemasının sorunsuz çalışması için çok önemlidir. Özel anahtara sahip olan bir varlık, sertifikanın geçerliliğinin geri kalanı için ortadaki adam saldırıları gerçekleştirebilir. Tipik olarak, bir saldırgan bir özel anahtarın güvenliğini ihlal ettiğinde, bu anahtarla ilişkili sertifika iptal edilir ve yeni bir sertifika verilir. Ancak, Facebook gibi birden çok sunucu kullanan işletmeler için İçerik Dağıtım Ağları, özellikle uç sunucularda önemli tavizlerin algılanması kolay değildir, bu nedenle tüm ağı riske atar. Temsil Edilen Kimlik Bilgileri, sunucuların performans göstermesine izin verir TLS tokalaşma, sertifikanın özel anahtarı ise güvenli bir yerde saklanır.
SSL.com çok çeşitli SSL /TLS sunucu sertifikaları HTTPS web siteleri için.
SSL KARŞILAŞTIR /TLS BELGELERİ
bitirmek TLS bağ. Temsil edilen kimlik bilgilerini verme süreci şu anda standardizasyon altındadır ve bu belgede tanımlanmıştır. IEFT taslağı. Taslak, Temsil Edilen Kimlik Bilgilerinin kullanımını aşağıdaki gibi tanımlar:
Temsil Edilen Kimlik Bilgileri, güvenliği artırmak amacıyla tasarlanmıştır. Bu nedenle, IEFT taslağında tanımlandığı gibi belirli özelliklere sahiptirler.izin veren sınırlı bir yetkilendirme mekanizmasıdır. TLS harici bir CA tarafından verilen bir sertifika kapsamında kendi kimlik bilgilerini yayınlamak için eşler. Bu kimlik bilgileri, yalnızca delegasyonun alıcısının CA'nın yetkilendirdiği adlar için konuşmasını sağlar."
- Temsil edilen bir kimlik bilgisinin maksimum geçerlilik süresi yedi (7) gün özel anahtarın tehlikeye girmesi durumunda açığa çıkmayı en aza indirmek için. Kısa geçerlilik süresi, devredilen kimlik bilgilerinin güvenliğinin hafife alınması gerektiği anlamına gelmez. Son varlık sertifikasının özel anahtarını korumak için alınan önlemler, DC'lerin korunması için de geçerli olmalıdır. Bunlar, diğerlerinin yanı sıra dosya sistemi kontrollerini, fiziksel güvenliği ve donanım güvenlik modüllerini içerir. Ayrıca, devredilen kimlik bilgileri yalnızca birbirleriyle bazı güven ilişkisini paylaşan taraflar arasında kullanılmalıdır.
- Yetki verilen kimlik bilgileri kriptografik olarak bağlı son varlık sertifikasına. Spesifik olarak, son varlık sertifikasının özel anahtarı, kimlik bilgisi tarafından belirtilen bir algoritma aracılığıyla DC'nin imzasını hesaplamak için kullanılır. İmza, DC'yi son varlık sertifikasının adlarına etkin bir şekilde bağlar.
- Yetki verilen kimlik bilgileri, bir CA tarafından imzalanmış bir sertifika oluşturmaktan çok daha kolay olan istemci tarafından verilir. İstemci tarafından verilen sertifikalar, CA'nın kapalı kalma süresi olsa bile hizmetin çalışır durumda kalmasına yardımcı olur. Ayrıca kuruluşlar, son varlık sertifikasının güvenliğinden ödün vermeden CA tarafından resmi olarak desteklenmeyen algoritmaları deneyebilir.
- Temsil edilen kimlik bilgilerinin tanım gereği kısa geçerlilik süreleri vardır. Temsil edilen kimlik bilgilerinin ömrünü ayarlarken, sunucuların, sertifikaların reddedilmesini önlemek için istemci saat eğrisini dikkate alması gerekir. İstemci saat çarpıklığı da orijinal sertifika için önemlidir, ancak kısa ömürlü temsilci özel anahtar için çok önemlidir. Müşteri saat çarpıklığı, geçerlilik sürelerinin hem başında hem de sonunda dikkate alınmalıdır.
- Temsil edilen kimlik bilgileri için iptal mekanizması yoktur. Geçerlilik süresi sona erdiğinde geçersiz hale gelirler. Ancak, son varlık sertifikasının (temsil edilen kimlik bilgilerini imzalamak için kullanılan) özel anahtarının iptali, devredilen kimlik bilgilerini dolaylı olarak iptal eder.
- Yetki verilen kimlik bilgileri şurada kullanılmak üzere tasarlanmıştır: TLS 1.3 veya daha sonra. Bilinen bir güvenlik açığı olduğunda TLS 1.2 sunucuları, RSA anahtar değişimini destekleyerek, rastgele bir mesaj üzerinden bir RSA imzasının oluşturulmasına izin verir. Bir saldırganın sahte imza oluşturabildiğini varsayalım. Bu durumda, son varlık sertifikasının tüm geçerlilik süresi için sahte yetki verilmiş kimlik bilgileri oluşturabilirler. Bu güvenlik açığı aşağıdakilerin uygulamalarında mevcut değildir: TLS 1.3 veya üstü. Ayrıca, güvenlik açığı, eliptik eğri kriptografisine sahip sertifikaları etkilemez. SSL.com içerir.
- Kuruluşlar, yetki verilmiş kimlik bilgilerini teslim etmek için ACME gibi mevcut otomatik düzenleme API'lerini kullanabilir. Bu durumda, kullanılan algoritmalar yalnızca CA tarafından desteklenenlerdir, ancak bu uygulama, anahtar uzlaşma olasılığını azaltır. SSL.com bu uygulamayı desteklemektedir.
- Yetki verilen kimlik bilgileri birden çok bağlamda yeniden kullanılamaz. Veren taraflar, amaçlanan role (istemci veya sunucu) özgü bir bağlam dizesi kullanarak imzayı hesaplar, böylece istemci ve sunucu kimlik doğrulaması için aynı yetki verilmiş kimlik bilgilerinin kullanılmasını imkansız hale getirir.
istemciler, müşterilerimiz tarafından verilen yetki verilmiş kimlik bilgileri, yukarıda açıklandığı gibi imza sahteciliği saldırılarına karşı savunmasız değildir.
SSL.com'un uygulamasıyla ACME, tüm müşterilerimiz alabilir avantaj bu popüler protokolün SSL'yi kolayca otomatikleştirin/TLS web sitesi sertifikası verilmesi ve yenilenmesi.
ACME SSL hakkında daha fazla bilgi edinin/TLS Otomasyon
SSL.com çok çeşitli SSL /TLS sunucu sertifikaları HTTPS web siteleri için.
SSL KARŞILAŞTIR /TLS BELGELERİ
