Meta, per offrire un’esperienza ottimale ai suoi utenti globali, gestisce una rete distribuita con numerosi punti di presenza in diverse aree geografiche. Questo “bordo” della rete rappresenta il punto di ingresso nell’infrastruttura di Meta per le richieste degli utenti finali. Qui, la loro implementazione di Transport Layer Security (TLS) garantisce la sicurezza end-to-end delle applicazioni su internet.
Evoluzione dell’infrastruttura TLS di Meta
Nel corso degli anni, l’infrastruttura TLS di Meta ha subito diverse evoluzioni. Quando un client, come un’app o un browser, desidera inviare una richiesta a un’applicazione dinamica, deve prima completare una stretta di mano TLS con il loro bilanciatore di carico L7. In passato, Proxygen caricava sia la certificazione che la chiave privata in memoria per completare le strette di mano TLS. Questo rendeva il sistema potenzialmente vulnerabile ad attacchi simili a Heartbleed. Tuttavia, con l’introduzione del servizio OffloadService, la rotazione del certificato è diventata più agile e sicura.
Sfide nella protezione delle chiavi private TLS
Meta ha esaminato diversi metodi per migliorare la sicurezza delle chiavi private TLS. Tra questi, la revocazione a livello di protocollo, l’offload remoto e le credenziali delegate. Tuttavia, ogni metodo presentava delle sfide.
Come sono stati costruiti gli SLCs
Meta ha lavorato per ridurre la durata dei certificati. Anni fa, iniziò con certificati con una durata di anni, poi la ridusse a pochi mesi. Attualmente, i loro certificati sono validi solo per pochi giorni. Con l’introduzione degli SLCs, Meta ha deciso di limitare l’esposizione della chiave privata a 10 giorni e di ruotare i certificati ogni giorno.
Requisiti principali del sistema
Il sistema ha diversi requisiti chiave, tra cui la gestione delle dipendenze esterne, la protezione delle chiavi private, la presenza di un certificato di backup e l’affidabilità. Data l’alta volumetria dei certificati e la rotazione sensibile al tempo, è essenziale avere un flusso end-to-end ad alta disponibilità e affidabilità.
Ampliamento dell’infrastruttura per gli SLCs
Meta ha rivisto il suo sistema interno per gestire tutti i suoi certificati pubblici. Questo sistema offre un’interfaccia semplice per richiedere certificati e supporta i rinnovi automatici. I certificati emessi vengono poi raggruppati per data di scadenza in “pacchetti di certificati”.
Lavori futuri per proteggere le chiavi private TLS
Meta ha fatto grandi progressi dall’inizio della sua infrastruttura TLS, migliorando notevolmente la sua posizione di sicurezza riducendo la durata dei certificati da anni a giorni. L’azienda continua a lavorare per migliorare l’affidabilità di questo flusso e valuta ulteriori riduzioni nella durata dei certificati.