QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接

作者:Renato Losio

  • 2024-10-07
    北京
  • 本文字数:1289 字

    阅读完需:约 4 分钟

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接

Cloudflare 最近引入了新的自动化 SSL/TLS 设置,以简化供应商与源服务器通信的加密模式。这个特性提供了自动化配置,确保安全性,同时不会有站点停机的风险。


自动化的 SSL/TLS 通过利用 Cloudflare SSL/TLS 推荐系统来强化 Cloudflare 和源服务器之间的加密模式。这个推荐系统会自动执行一系列从 Cloudflare 到自定义源的请求,请求中会带有不同的 SSL/TLS 设置,以确定后端通信是否可以升级到当前配置以外的模式。Cloudflare 的产品经理 Alex Krivit、Cloudflare 软件研究工程师 Suleman Ahmad、Cloudflare 软件工程师 J Evans 和 Cloudflare 系统工程师 Yawar Jamal 解释了该特性的重要性:


确保在源服务器上正确配置证书,并告知 Cloudflare 应该如何与源进行通信,这种方式可能会让人心怀忐忑,因为如果没有正确部署或配置,错误配置可能会导致停机现象的出现。


虽然 Cloudflare 已经提供了各种技术,比如,认证源拉取(Authenticated Origin Pulls)、Cloudflare 通道(Cloudflare Tunnels) 和证书授权,以帮助客户配置与源服务器之间的通信,但这些方案仍然需要在源服务器和 Cloudflare 设置中进行手动配置的更改。



图片来源:Cloudflare 博客


Cloudflare 为与源服务器的 SSL/TLS 连接提供了五个选项,分别是 Off、Flexible、Full、Full(Strict)和 Strict。在 Strict 模式下,从浏览器到 Cloudflare 的所有请求,无论是 HTTP 还是 HTTPS,都将始终通过 HTTPS 连接到源服务器,并验证源服务器的证书。


十年前,Cloudflare 推出了通用 SSL(Universal SSL),并在 2022 年承诺为客户提供“从 Cloudflare 到源服务器最安全的自动化连接”,同时阐明了大规模配置源 SSL 所面临的挑战。该提供商现在承认,推出这一功能所花费的时间比预期的要长。Krivit、Ahmad、Evans 和 Jamal 补充说:


我们花了更多的时间来平衡增强的安全性和无缝的网站功能,尤其是源服务器的安全配置和功能超出了 Cloudflare 直接控制的范围。


由于 Cloudflare 是客户端和客户源服务器之间的中介,因此需要建立两个独立的 TLS 连接:一个是用户浏览器和 Cloudflare 网络之间的连接,另一个是 Cloudflare 网络和源服务器之间的连接。与保护客户端和 Cloudflare 之间的连接不同,管理源服务器的安全功能更具挑战性。在 Hacker News 的一个热门主题中,用户 amluto 发表了这样的评论:


Cloudflare 正在谈论 Cloudflare 通道的安全优势。它们很可能非常安全,但我希望 Cloudflare 能清理一下他们的配置系统,使配置真正与行为相匹配。从 DNS 名称到路由的映射设置不应该称为 DNS,也绝对不应假装成 CNAME。


其他用户讨论了“零信任(Zero Trust)”门户的可用性,并对越来越多的可用选项表示担忧。用户 LinuxBender 补充说:


这会将人工操作从证书源的循环中排除,我可以看到在 Encrypted Client Hello(ECH)在所有设备上得到普遍支持之前,增加一个隐私保护步骤的机会。


该云提供商已经开始向启用 SSL/TLS 推荐系统的客户推出该功能。剩余的免费和专业版客户预计将从 9 月 16 日开始启用,商业和企业级客户也将陆续启用。


查看英文原文:

https://www.infoq.com/news/2024/08/cloudflare-automatic-ssl-origin/

2024-10-07 08:0012414

评论

发布
暂无评论
发现更多内容

Jsp页面报错后如何找到提示信息中的_jsp.java文件

阡陌r

配置国内的pip源以提高使用pip安装python软件包的速度

良少

Python pip

2020年3月北京BGP机房网络质量评测报告

博睿数据

运维 APM 机房 数据中心 拨测

2020年3月云主机性能评测报告

博睿数据

云计算 运维 机房 数据中心 主机

程序员的修行之路-保持良好的心态

牧马人

程序员

微软:正式发布针对 .NET Core的 Winform 设计器

葡萄城技术团队

.net 微软 Win .net core

是什么在背后支撑起“带货一哥”李佳琦?

博睿数据

负载均衡 APM 压测 秒杀 并发

产品周刊 | 第 16 期(20200524)

八味阁

产品 设计 产品经理 产品设计

企业微信机器人在大型财务共享中心的应用实践

DT极客

玩转SpringBoot2.x之缓存对象

zhuoqianmingyue

redis springboot

使用Spring Boot和Docker构建微服务架构(一)

Tux Hu

Docker 架构 容器 微服务 Spring Boot

使用Spring Boot和Docker构建微服务架构(二)

Tux Hu

Docker 架构 容器 微服务 Spring Boot

zookeeper到nacos的迁移实践

捉虫大师

架构 nacos

linux 账户及安全管理(一 账户管理)

牧马人

Linux

ARTS第一周

困到清醒

ARTS 打卡计划 起跑

爬虫框架Scrapy应用实践-淘宝保险频道数据抓取【1】-前期准备

hadesxiong

Python 爬虫 保险 Scrapy

足不出户“逛”银行,37家城商行、农商行手机银行App性能大比拼

博睿数据

APM App 评测 网银 银行

快速入门 Nacos 作为配置中心操作

zhuoqianmingyue

nacos SpringBoot 2

代码刚提交暂存区,组长突然要我把新增代码 Commit另一分支怎么办?

zhuoqianmingyue

git

微信gif图片大小的规则

石云升

微信 GIF

后台定时统计任务太耗时如何优化一下

zhuoqianmingyue

线程池

程序员的修行之路-关于编程语言

牧马人

程序员

短视频时代下的知识摄取

Neco.W

学习 知识管理 知识体系 短视频

Spring Cloud 和 Dubbo 哪个会被淘汰?

程序猿DD

Spring Cloud dubbo

使用Spring Boot和Docker构建微服务架构(三)

Tux Hu

Docker 架构 容器 微服务 Spring Boot

程序员的修行之路-关于编程语言

牧马人

程序员

使用Spring Boot和Docker构建微服务架构(四)

Tux Hu

Docker 架构 容器 微服务 Spring Boot

数据产品经理实战-DMP搭建

第519区

产品经理 营销

Java | @Override 不要再把它当成可有可无的了

YoungZY

Java 注解 Override annotation

游戏夜读 | 世界两大游戏评论!

game1night

卡巴斯基产品本地化用时能缩短 77%,怎么做到的?

葛仲君

项目管理 软件开发 本地化 开发流程

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接_框架_InfoQ精选文章