Бесплатно Экспресс-аудит сайта:

23.09.2014

CloudFlare отказалась от SSL-ключей в целях повышения безопасности

CloudFlare анонсировала запуск своего нового сервиса, над которым корпела последние два года - Keyless SSL. Новая услуга позволяет клиентам шифровать собственный web-трафик через сети CloudFlare, не передавая при этом свои SSL-ключи.

В блоге организации ее генеральный директор Мэтью Принс (Matthew Prince) отмечает: «Для организаций, придерживающихся наиболее высоких стандартов безопасности SSL, единственный способ воспользоваться преимуществами облачных технологий заключается в отсутствии необходимости передавать нам свои SSL-ключи».

Согласно пояснениям эксперта, суть данного метода повышения безопасности заключается в перенесении сервера ключей на сторону клиента, что лишает CloudFlare необходимости хранить чужие ключи. Более того, у компании вовсе не будет доступа к данному серверу.

В связи с этим процесс SSL рукопожатия был немного изменен в сторону географического разбиения его этапов. Большей частью они происходят на стороне CloudFlare, тогда как клиенту компании необходимо предоставить лишь одно зашифрованное значение.

Эталонная реализация, позволяющая всем желающим создавать Keyless SSL-совместимые серверы ключей, доступна здесь . Исходный код прошел независимый аудит экспертов из iSEC Partners и Matasano Security. Описание технических деталей реализации доступно здесь .

Отметим, что некоторые независимые эксперты уже выступили с критикой относительно инновационности и большей безопасности сервиса CloudFlare. Так, по данным xakep.ru, загрузку цифрового ключа со стороннего носителя (SSL offloading) можно реализовать в рамках существующих стандартов.