idNSA.id - Facebook, Mozilla, dan Cloudflare mengumumkan spesifikasi teknis baru yang disebut TLS Delegated Credentials, yang saat ini menjalani standarisasi di Internet Engineering Task Force (IETF).
Standar baru ini akan berfungsi sebagai ekstensi ke TLS, protokol kriptografi yang menopang protokol HTTPS yang lebih dikenal luas, yang digunakan untuk memuat situs web di dalam browser melalui koneksi terenkripsi.
Ekstensi Kredensial Delegasi TLS secara khusus dikembangkan untuk pengaturan situs web besar, seperti Facebook, atau untuk situs web yang menggunakan jaringan pengiriman konten (CDN), seperti Cloudflare.
BAGAIMANA KREDENSI DELEGASI TLS BEKERJA
Misalnya, situs web besar seperti Facebook memiliki ribuan server yang tersebar di seluruh dunia. Untuk mendukung lalu lintas HTTPS di semua, Facebook harus menempatkan salinan kunci pribadi sertifikat TLS pada masing-masing.
Ini adalah pengaturan yang berbahaya. Jika penyerang meretas satu server dan mencuri kunci pribadi TLS, penyerang dapat menyamar sebagai server Facebook dan mencegat lalu lintas pengguna hingga sertifikat curian berakhir.
Hal yang sama juga berlaku dengan layanan CDN seperti Cloudflare. Siapa pun yang meng-hosting situs web HTTPS pada infrastruktur Cloudflare harus mengunggah kunci pribadi TLS mereka ke layanan Cloudflare, yang kemudian mendistribusikannya ke ribuan server di seluruh dunia.
Ekstensi Kredensial Delegasi TLS memungkinkan pemilik situs untuk membuat kunci privat TLS berumur pendek (disebut kredensial yang didelegasikan) yang dapat digunakan untuk pengaturan multi-server ini, alih-alih kunci privat TLS yang sebenarnya.
Kredensial yang didelegasikan dapat hidup hingga tujuh hari dan dapat diputar secara otomatis setelah kedaluwarsa.
Kredensial Delegasi TLS dinilai dapat mempersingkat jendela serangan MitM (man-in-the-middle-attack)
Peningkatan keamanan paling penting yang datang dengan ekstensi TLS baru ini adalah bahwa jika - dalam skenario terburuk - penyerang berhasil meretas server, kunci pribadi yang dicuri (sebenarnya kredensial yang didelegasikan) tidak akan berfungsi untuk lebih daripada beberapa hari, bukan minggu, bulan, atau bahkan setahun, seperti sekarang.
Anda dapat membaca penjelasan teknis lebih mendalam tentang ekstensi Kredensial Delegasi TLS baru di blog Facebook, Mozilla, dan Cloudflare.
Spesifikasi rancangan IETF tersedia di sini. Kredensial Delegasi TLS akan kompatibel dengan protokol TLS v1.3 dan yang lebih baru.
Sumber Foto: Facebook, Artikel: Zdnet
