Nieuw TLS-protocol verbetert web security

Facebook, Cloudflare en de Mozilla Foundation hebben samengewerkt om Transport Layer Security (TLS) te bevorderen.

Versterking van webbeveiliging

Individueel hebben de bedrijven updates vrijgegeven met betrekking tot het beveiligingsprotocol Delegated Credentials (DG). Het nieuwe TLS-protocol heeft tot doel de webbeveiliging te versterken en de Web Public Key Infrastructure (PKI) robuuster te maken, door compromissen te beperken zonder de prestaties te belemmeren.

TLS maakt gebruik van asymmetrische encryptie. Een browser kan de legitimiteit van een site controleren door middel van een digitaal certificaat. De private key kan echter worden gekaapt en gebruikt om de dienst na te bootsen, het gebruikersverkeer te onderscheppen en privé-informatie te stelen.

Facebook is misschien wel een van de grootste TLS implementaties ter wereld. Het bedrijf gebruikt duizenden webservers om de sociale mediasite uit te voeren, en elk van deze servers heeft een kopie van de private key, wat resulteert in een hoger veiligheidsrisico. Als een server wordt aangetast, kan de private key worden gestolen en worden gebruikt om een aanval op het verkeer naar de server te lanceren.

Delegated Credentials genereert een nieuwe set keys, met een vervaldatum van slechts enkele uren met een maximum van zeven dagen, in tegenstelling tot elke paar maanden; dat is wat nu beschikbaar is voor private keys. Deze nieuwe keys worden gedistribueerd naar de servers, waardoor het gebruik van de private key op het netwerk niet langer nodig is.

Bovendien lost Delegated Credentials problemen met verkorte authenticatie op, wat resulteert in slechte prestaties of een gebrek aan toegang tot een dienst, aangezien DG cryptografisch gebonden is aan een door een Certification Authority (CA) afgegeven certificaat.

Nieuw protocol definiëren

Facebook, Cloudflare en Mozilla hebben ook samengewerkt met de bredere IETF-community voor het nieuwe protocol. Daarnaast hebben zij het protocol toegevoegd aan de Internet Engineering Task Force om er een industriestandaard van te maken.

Subodh Iyengar, software-ingenieur bij Facebook, zegt: “Wij geloven dat Delegated Credentials een effectieve manier is om de veiligheid te verhogen door de levensduur van certificaten te verkorten zonder dat dit ten koste gaat van de betrouwbaarheid. Dit zal spoedig de internet-norm worden en wij hopen dat anderen in de industrie Delegated Credentials zullen aannemen om het Internet-ecosysteem veiliger te helpen maken.”