Мудрость добро, а добро – мудрость.

Мужик не видел своего друга около 30 лет и, к своему удивлению, насчитал в его доме 11 детей. ...

Docker продал компании Mirantis часть бизнеса, связанного с платформой Docker Enterprise
Thu, 14 Nov 2019 08:37:14 +0300

Mozilla, Fastly, Intel и Red Hat продвигают WebAssembly, как платформу для универсального применения
Wed, 13 Nov 2019 09:37:16 +0300

Chrome начнёт помечать быстрые и медленные сайты
Tue, 12 Nov 2019 07:42:46 +0300

Пакет Microsoft Defender ATP будет выпущен для Linux
Mon, 11 Nov 2019 08:19:52 +0300

В Steam для Linux появилась возможность запуска игр в изолированных контейнерах
Mon, 11 Nov 2019 07:44:03 +0300

Разработчики openSUSE проголосовали против смены имени проекта
Fri, 08 Nov 2019 18:44:23 +0300

Google представил открытый проект OpenTitan для создания заслуживающих доверия чипов
Fri, 08 Nov 2019 13:59:44 +0300

Фонд свободного ПО сертифицировал материнские платы Talos II
Fri, 08 Nov 2019 09:14:58 +0300

Python опередил Java по числу проектов на GitHub
Fri, 08 Nov 2019 07:36:55 +0300

В пакетный менеджер NPM 6.13 добавлены инструменты для финансирования разработчиков
Thu, 07 Nov 2019 13:18:06 +0300

Google открыл наработки, связанные с технологией виртуальной реальности Cardboard
Thu, 07 Nov 2019 08:56:56 +0300

Браузер Microsoft Edge позиционируется кросс-платформенным и будет поддерживать Linux
Tue, 05 Nov 2019 21:09:33 +0300

В ночных сборках Firefox появилась поддержка HTTP/3
Mon, 04 Nov 2019 09:35:49 +0300

В Chrome началось тестирование третьей редакции манифеста, несовместимой с uBlock Origin
Sun, 03 Nov 2019 10:51:24 +0300

Microsoft присоединяется к разработке OpenJDK
Sun, 03 Nov 2019 10:20:21 +0300

Новости OPENNET
Новости

Mozilla, Cloudflare и Facebook совместно анонсировали новое TLS-расширение Delegated Credentials (DC), решающее проблему c сертификатами при организации доступа к сайту через сети доставки контента. Выдаваемые удостоверяющими центрами сертификаты имеют длительный срок действия, что создаёт трудности при необходимости организации доступа к сайту через сторонний сервис, от лица которого должно устанавливаться защищённое соединение, так как передача сертификата сайта внешнему сервису создаёт дополнительные угрозы безопасности.

Новое расширение также может оказаться полезным для сайтов, работа которых обеспечивается крупной распределённой инфраструктурой с большим числом балансировщиков нагрузки. Delegated Credentials позволит избежать хранения копий закрытых ключей основных сертификатов на каждом узле отдачи контента. При классическом подходе успешная атака на любой из серверов, участвующих в отдаче HTTPS-трафика, приведёт к компрометации всего сертификата. В случае передачи закрытых ключей сетям доставки контента возникают угрозы утечки данных в результате диверсий со стороны персонала, действий спецслужб или компрометации инфраструктуры CDN.

Если утечка ключей останется незамеченной, получившие доступ к ключам смогут достаточно длительное время незаметно вклиниваться в трафик сайта (MITM), так как сроки действия сертификатов исчисляются месяцами и годами. В Cloudflare для защиты ключей сертификатов могут применяться специальные серверы ключей, работающие на стороне владельца сайта, но работа в таком режиме приводит к появлению ощутимых задержек в отдаче трафика, снижает надёжность из-за появления дополнительного звена и требует развёртывания усложнённой инфраструктуры.

Предложенное TLS-расширение Delegated Credentials вводит в обиход дополнительный промежуточных закрытый ключ, время действия которого ограничено часами или несколькими днями (не больше 7 дней). Данный ключ генерируется на основе выданного удостоверяющим центром сертификата и позволяет сохранить закрытый ключ исходного сертификата в тайне от сервисов доставки контента, предоставив им только временный сертификат с коротким временем жизни.

Для того чтобы избежать проблем с доступом после истечения времени жизни промежуточного ключа предусмотрена технология автоматического обновления, выполняемая на стороне исходного TLS-сервера. Для генерации не требуется выполнение ручных операций или запуска скриптов - авторизированный сервер, которому требуется закрытый ключ, до истечения времени жизни предыдущего ключа обращается к исходному TLS-серверу сайта и он генерирует промежуточный ключ на очередной короткий промежуток времени.

Поддерживающие TLS-расширение Delegated Credentials браузеры будут воспринимать подобные производные сертификаты как заслуживающие доверия. Например, поддержка указанного расширения уже добавлена в ночные сборки и бета-версии Firefox и может быть активирована в about:config через изменение настройки "security.tls.enable_delegated_credentials". В середине ноября среди определённого процента пользователей тестовых версий Firefox также планируется провести эксперимент "TLS Delegated Credentials Experiment", в рамках которого для проверки качества реализации нового TLS-расширения будет отправлен тестовый запрос на DC-сервер Cloudflare. Поддержка Delegated Credentials также уже встроена в библиотеку Fizz с реализацией TLS 1.3.

Спецификация Delegated Credentials передана в комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры Интернет, и находится на стадии черновика, претендующего на звание интернет-стандарта. Расширение Delegated Credentials может применяться только с TLSv1.3.

Для генерации промежуточных ключей требуется получение TLS-сертификата, включающего специальное расширение X.509, которое пока поддерживается только удостоверяющим центром DigiCert.

9.1504 70.6724 0.5882 64.2009

НОВОСТИ: Выявлен новый вариант атаки Zombieload на процессоры Intel Wed, 13 Nov 2019 15:34:44 +0300

Исследователи из Грацского технического университета (Австрия) раскрыли сведения о новом методе атаки по сторонним каналам ZombieLoad 2.0 (CVE-2019-11135), позволяющем извлечь конфиденциальную информацию из других процессов, операционной системы, виртуальных машин и защищённых анклавов (TEE, Trusted Execution Environment). Проблема затрагивает только процессоры Intel. Компоненты для блокирования проблемы предложены во вчерашнем обновлении микрокода.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome