Keyless SSL™ (shameless plug)
CloudFlare анонсировал, что теперь можно не раздавать сертификаты точкам, которые терминируют SSL трафик.
[1] http://blog.cloudflare.com/announcing-keyless-ssl-all-the-benefits-of-cloudflare-without-having-to-turn-over-your-private-ssl-keys/
[2] https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/
И это на самом деле здорово. Только они так говорят, как будто это инжениринговый прорыв нереальный.
В начале двухтысячных у нас в Netli (продались Akamai) появилось желание терминировать SSL, причём, чтобы наши датацентры, стоящие в Китае, Бразилии, России и ещё чёрт-те где, не имели бы приватного SSL-сертификата. Потому что несекьюрно и может утечь. Среди наших клиентов были такие компании, как Dell (dell.com), HP (hp.com), и сертификаты этих сайтов было бы очень грустно утратить в процессе обработки их на этих разнесённых датацентрах.
В районе 2003-2004 я имплементировал этот процесс в виде расширения OpenSSL (добавил туда fibers, чтобы можно было асинхронизировать запросы; изначально в OpenSSL этот процесс синхронен), и набора софта "keyserver", при котором бы ключи хранились на центральных машинах в штатах, а на краевых машинах, в левых датацентрах, терминация SSL приводила бы к асинхронному запросу на генерацию pre-master ключа. На централизованных keyservers ключи на диске хранились в зашифрованном блобе, а ключ от блоба хранился в HSM (от nCipher) в центральном сервере, и передавался кейсерверам только временно.
Процесс мы не запатентовали, потому что наши предыдущие патенты, связанные с простыми инженерными шнягами, шли туговато. Например, моя глупая аппликация US20060098645 так и не прошла.
С тех пор эта же технология безключевого SSL светилась несколько раз в разных патентных аппликациях:
http://www.google.com/patents/US20070074282 (Certeon)
http://www.google.com/patents/US20130156189 (Akamai) - это выглядит ровно как описание моей работы - ну да не мудрено, потому что Akamai купил Netli целиком вместе с её кодом и клиентами, использовавшими безключевую терминацию SSL.
Но эти апликации не прошли. А вот более поздняя апликация от CloudFlare - прошла, и превратилась в патент:
https://www.google.com/patents/US8782774 (CloudFlare)
Вывод? Молодцы, я рад за них ;) Только патент у них non-enforceable, потому что есть prior art, закреплённый в патентах от Certeon и Akamai.
[1] http://blog.cloudflare.com/announcing-keyless-ssl-all-the-benefits-of-cloudflare-without-having-to-turn-over-your-private-ssl-keys/
[2] https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/
И это на самом деле здорово. Только они так говорят, как будто это инжениринговый прорыв нереальный.
В начале двухтысячных у нас в Netli (продались Akamai) появилось желание терминировать SSL, причём, чтобы наши датацентры, стоящие в Китае, Бразилии, России и ещё чёрт-те где, не имели бы приватного SSL-сертификата. Потому что несекьюрно и может утечь. Среди наших клиентов были такие компании, как Dell (dell.com), HP (hp.com), и сертификаты этих сайтов было бы очень грустно утратить в процессе обработки их на этих разнесённых датацентрах.
В районе 2003-2004 я имплементировал этот процесс в виде расширения OpenSSL (добавил туда fibers, чтобы можно было асинхронизировать запросы; изначально в OpenSSL этот процесс синхронен), и набора софта "keyserver", при котором бы ключи хранились на центральных машинах в штатах, а на краевых машинах, в левых датацентрах, терминация SSL приводила бы к асинхронному запросу на генерацию pre-master ключа. На централизованных keyservers ключи на диске хранились в зашифрованном блобе, а ключ от блоба хранился в HSM (от nCipher) в центральном сервере, и передавался кейсерверам только временно.
Процесс мы не запатентовали, потому что наши предыдущие патенты, связанные с простыми инженерными шнягами, шли туговато. Например, моя глупая аппликация US20060098645 так и не прошла.
С тех пор эта же технология безключевого SSL светилась несколько раз в разных патентных аппликациях:
http://www.google.com/patents/US20070074282 (Certeon)
http://www.google.com/patents/US20130156189 (Akamai) - это выглядит ровно как описание моей работы - ну да не мудрено, потому что Akamai купил Netli целиком вместе с её кодом и клиентами, использовавшими безключевую терминацию SSL.
Но эти апликации не прошли. А вот более поздняя апликация от CloudFlare - прошла, и превратилась в патент:
https://www.google.com/patents/US8782774 (CloudFlare)
Вывод? Молодцы, я рад за них ;) Только патент у них non-enforceable, потому что есть prior art, закреплённый в патентах от Certeon и Akamai.