背景

TLSはサーバを認証するのに使用されています。今まではコンテンツの責任を持つアプリケーション エンドポイント(コンテンツプロバイダ)と、TLSエンドポイントは同じサーバでした。しかし、現在のWebサービスは負荷分散などの理由で、アプリケーション エンドポイントとTLSエンドポイントが異なる構成を取ることが多いです。

エンドポイントが分かれている場合でも、TLSレイヤのサーバ認証を持ってして、アプリケーションエンドポイントを信頼する形になっています。

また、CDNやクラウドのロードバランサを使用している場合は、アプリケーション エンドポイントとTLSエンドポイントが別の組織によって管理されている事になります。

TLSエンドポイント(エッジーサーバ)が、別の組織で運営されている場合でも、コンテンツプロバイダを認証できるようにする方法として2つ挙げられています。

• コンテンツプロバイダに関連付けられたクレデンシャルを、各エッジサーバに共有する(なりすますような形)
• コンテンツプロバイダのクレデンシャルのままに、コンテンツプロバイダを巻き込む形でWebサーバとエッジーサーバの間でTLSセッションを確立する。

主に議論されるのは後者であり、クライアントはエッジサーバとTLSセッションを確立することでコンテンツプロパイダをも認証できるようにする形かと思います。

つまり、鍵などを共有すること無くHTTPSをCDNにオフロードすることが出来るようになります。

用語の整理

• TLSクライアント： TLSセッションを開始するエンドポイントです。
• TLSサーバ：TLSセッションの開始を受け付けるエンドポイント。Lurkの議論ではアプリケーションのエンドポイントとは別として考えられます。
• エッジサーバ：コンテンツプロバイダへのトラフィックをハンドルするサーバ。TLSサーバでもあり、TLSクライアントはコンテンツプロパイダを認証するためにTLSセッションを開始しますが、エッジサーバがTLSエンドポイントになります。
• コンテンツプロバイダ：コンテンツの所有者。
• 分離認証(Split Authentication)：TLSクライアントが、エッジサーバとのTLSセッション確立を持ってコンテンツプロバイダを認証すること。

アーキテクチャ

方式として「Session Key Interface (SKI) for TLS and DTLS」といった方法が提案されているようです。

• エッジサーバ：TLSクライアントから見るとただのTLSサーバのよう見見える。エッジサーバは秘密鍵を持たないTLSサーバのようにデザインされています。その代わり、秘密鍵が使用される時の暗号的操作はキーサーバに寄って行なわれます。

• 鍵サーバ：秘密鍵をホストしており、暗号的操作をエッジサーバの代わりに行います。

I-D中で記述されている、ハンドシェイクシーケンスを見たほうがイメージが湧くかもしれません。

https://tools.ietf.org/html/draft-cairns-tls-session-key-interface-01#section-7.2