CloudFlare анонсировала запуск своего нового сервиса, над которым корпела последние два года – Keyless SSL. Новая услуга позволяет клиентам шифровать собственный web-трафик через сети CloudFlare, не передавая при этом свои SSL-ключи. В блоге организации ее генеральный директор Мэтью Принс (Matthew Prince) отмечает: “Для организаций, придерживающихся наиболее высоких стандартов безопасности SSL, единственный способ воспользоваться преимуществами облачных технологий заключается в отсутствии необходимости передавать нам свои SSL-ключи”.
Согласно пояснениям эксперта, суть данного метода повышения безопасности заключается в перенесении сервера ключей на сторону клиента, что лишает CloudFlare необходимости хранить чужие ключи. Более того, у компании вовсе не будет доступа к данному серверу.
В связи с этим процесс SSL рукопожатия был немного изменен в сторону географического разбиения его этапов. Большей частью они происходят на стороне CloudFlare, тогда как клиенту компании необходимо предоставить лишь одно зашифрованное значение.
Эталонная реализация, позволяющая всем желающим создавать Keyless SSL-совместимые серверы ключей, доступна здесь . Исходный код прошел независимый аудит экспертов из iSEC Partners и Matasano Security. Отметим, что некоторые независимые эксперты уже выступили с критикой относительно инновационности и большей безопасности сервиса CloudFlare. Так, по данным xakep.ru, загрузку цифрового ключа со стороннего носителя (SSL offloading) можно реализовать в рамках существующих стандартов. (CloudFlare/NovostIT)