Delegated Credentials for TLSに対応しました
ーコラムー
2020年1月8日号
Delegated Credentials for TLSに対応しました
以前に投稿したKeyless SSLに関連する新しい機能がリリースされています。
Keyless SSLでは、一度セッションを張ってしまえばCloudflareとKey Serverの通信は発生しませんが、やはり最初だけはどうしてもKeyless SSLなしの場合と比較すると遅延があります。
そこでCloudflareはDeligated Credentials for TLSという技術に対応しました。Deligated Credentials for TLSはTLSの拡張仕様で、まだドラフトですが何れ正式にRFC化されるものと思います(ドラフトはMozilla、Facebook、Cloudflareの共著となっています)。
通常CDNを使う場合は、秘密鍵をCDN事業者へ預けなければなりません。Keyless SSLでは自社が鍵を保有できるものの、最初の接続時のSSLネゴシエーションで若干の遅延が生まれます。
Deligated Credentials for TLSでは、Key Serverが短期間の期限付きのクレデンシャルを発行しCDNへ定期的にプッシュ配信します。そのクレデンシャルを用いてCDNはユーザとTLSハンドシェイクを行います。つまりクレデンシャルはそのドメインの正式な証明書ではないものの、短期間のみ有効な委任状のようなものであり、託された側はドメインの所有者に代わってそのドメインを一定時間名乗ることが出来る訳です。
Deligated Credentials for TLSでは、ユーザと暗号通信を確立する上で、Key Serverとのやり取りがありません。これにより秘密鍵を自社で保有しつつ、遅延のない通信を実現できます。
このTLS拡張を使うにはクライアント側も対応している必要があります。現時点でまだRFC化されていない機能ですので、各ブラウザも正式には対応していませんが、FireFoxではベータ的に実装されています。
設定方法はアドレスバーにabout:configと入力して拡張設定を開き、 security.tls.enable_delegated_credentialsという設定をFalseからTrueに変更するだけです。
Cloudflareでは最新のテクノロジーを開発し、自身の顧客だけでなくインターネット自体の改善に取り組んでいます。Delegated Credentials for TLSだけに限らずHTTP/3など、標準化される前からインプリしており、標準化やクライアント側のサポートと同時に一番乗りで自社のサイトへ適用できます!
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事