キーレス委任

キーレス委任は、新たに登場した委任資格基準の私たちの実装です ↗。キーレスで使用するために特別な拡張機能を持つ証明書をアップロードすると、Cloudflareは自動的に委任資格を生成し、この機能をサポートするクライアントとのエッジで使用します。ハンドシェイクは、キーレスサーバーに戻ることによって引き起こされる追加のレイテンシなしで完了します。また、アルゴリズム選択の柔軟性に関する追加の利点があります ↗。

裏では、定期的に委任資格を作成し、キーレスを介して署名します。これは、キーレスを使用する際にサーバーが送信する証明書確認メッセージに署名するために使用されるのと同じメカニズムです。これらの資格は短い有効期限を持ち、キーレスを無効にすると、作成された資格は24時間以内に無効になります。サポートされているクライアントは資格を検証し、サーバーは生成したキーを使用してTLSハンドシェイクへの応答に署名できます。

セキュリティ上の理由から、証明書には委任資格に使用するための特別な識別子が含まれている必要があります。これは、NULLコンテンツを持つオプションのX509拡張機能とOID 1.3.6.1.4.1.44363.44の形式を取ります。あなたのCAは、委任資格をサポートするためにコードの変更が必要かもしれません。

現在、委任資格をサポートするクライアントは非常に少なく、拡張機能を持つ証明書を発行する認証局もわずかです。DigiCertとの成功を収めています。Firefox 77以降は委任資格をサポートしています。