CloudFlare se passe des clés SSL privées des clients de son CDN
CloudFlare de présenter son service Keyless SSL, qui vise à ouvrir son service de CDN aux entreprises qui ne souhaitent pas confier leurs clés privées de chiffrement à des tiers.
CloudFlare de présenter son service Keyless SSL, qui vise à ouvrir son service de CDN (réseau de distribution de contenus) aux entreprises qui ne souhaitent pas ou ne peuvent pas de permettre, pour des questions réglementaires, de confier leurs clés privées de chiffrement à des tiers, à commencer par les institutions financières. C’est d’ailleurs pour ces dernières que CloudFlare indique, dans un billet de blog, avoir commencé, fin 2012, à travailler au développement de son service.
Keyless SSL ne nécessite ainsi pas qu’un client du CDN de CloudFlare lui confie ses clés privées de chiffrement. Pour l’établissement d’une liaison TLS basée sur l’algorithme RSA, l’astuce réside dans l’échange d’un secret dit Pre-Master Secret, créé, par le client, à partir d’un nombre aléatoire généré par le client et d’un autre généré par le serveur, le tout chiffré par la clé publique du certificat du serveur – au lieu d’utiliser sa clé privée. Ce secret est ensuite transmis au serveur détenant la clé privée, chez le client de CloudFlare, qui se charge de le déchiffrer pour le fournir aux serveurs du CDN. Ceux-ci l’utilisent pour établir la clé de session. Le processus diffère quelque peu avec l’algorithme Diffie-Hellman mais s’appuie globalement sur le même concept : l’échange d’un secret décodé par le serveur du client de CloudFlare avant l’établissement d’une clé de session.
De là, l’opérateur de CDN s’avère en mesure de gérer complètement la session avec l’utilisateur. Les données statiques sont cachées par CloudFlare tandis que les données générées à la volée sont passées directement au navigateur Web de l’utilisateur, chiffrées, de manière transparente et sans intervention du CDN. L’ensemble du processus est détaillé par l’opérateur dans un billet de blog.
Et d’assurer que son offre est déjà en production, à titre de test au moins, et avec succès, chez les banques qui l’ont sollicité fin 2012 pour lutter contre les attaques en déni de service distribué dont elles étaient la cible.
