写点什么

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接

作者:Renato Losio

  • 2024-10-07
    北京
  • 本文字数:1289 字

    阅读完需:约 4 分钟

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接

Cloudflare 最近引入了新的自动化 SSL/TLS 设置,以简化供应商与源服务器通信的加密模式。这个特性提供了自动化配置,确保安全性,同时不会有站点停机的风险。


自动化的 SSL/TLS 通过利用 Cloudflare SSL/TLS 推荐系统来强化 Cloudflare 和源服务器之间的加密模式。这个推荐系统会自动执行一系列从 Cloudflare 到自定义源的请求,请求中会带有不同的 SSL/TLS 设置,以确定后端通信是否可以升级到当前配置以外的模式。Cloudflare 的产品经理 Alex Krivit、Cloudflare 软件研究工程师 Suleman Ahmad、Cloudflare 软件工程师 J Evans 和 Cloudflare 系统工程师 Yawar Jamal 解释了该特性的重要性:


确保在源服务器上正确配置证书,并告知 Cloudflare 应该如何与源进行通信,这种方式可能会让人心怀忐忑,因为如果没有正确部署或配置,错误配置可能会导致停机现象的出现。


虽然 Cloudflare 已经提供了各种技术,比如,认证源拉取(Authenticated Origin Pulls)、Cloudflare 通道(Cloudflare Tunnels) 和证书授权,以帮助客户配置与源服务器之间的通信,但这些方案仍然需要在源服务器和 Cloudflare 设置中进行手动配置的更改。



图片来源:Cloudflare 博客


Cloudflare 为与源服务器的 SSL/TLS 连接提供了五个选项,分别是 Off、Flexible、Full、Full(Strict)和 Strict。在 Strict 模式下,从浏览器到 Cloudflare 的所有请求,无论是 HTTP 还是 HTTPS,都将始终通过 HTTPS 连接到源服务器,并验证源服务器的证书。


十年前,Cloudflare 推出了通用 SSL(Universal SSL),并在 2022 年承诺为客户提供“从 Cloudflare 到源服务器最安全的自动化连接”,同时阐明了大规模配置源 SSL 所面临的挑战。该提供商现在承认,推出这一功能所花费的时间比预期的要长。Krivit、Ahmad、Evans 和 Jamal 补充说:


我们花了更多的时间来平衡增强的安全性和无缝的网站功能,尤其是源服务器的安全配置和功能超出了 Cloudflare 直接控制的范围。


由于 Cloudflare 是客户端和客户源服务器之间的中介,因此需要建立两个独立的 TLS 连接:一个是用户浏览器和 Cloudflare 网络之间的连接,另一个是 Cloudflare 网络和源服务器之间的连接。与保护客户端和 Cloudflare 之间的连接不同,管理源服务器的安全功能更具挑战性。在 Hacker News 的一个热门主题中,用户 amluto 发表了这样的评论:


Cloudflare 正在谈论 Cloudflare 通道的安全优势。它们很可能非常安全,但我希望 Cloudflare 能清理一下他们的配置系统,使配置真正与行为相匹配。从 DNS 名称到路由的映射设置不应该称为 DNS,也绝对不应假装成 CNAME。


其他用户讨论了“零信任(Zero Trust)”门户的可用性,并对越来越多的可用选项表示担忧。用户 LinuxBender 补充说:


这会将人工操作从证书源的循环中排除,我可以看到在 Encrypted Client Hello(ECH)在所有设备上得到普遍支持之前,增加一个隐私保护步骤的机会。


该云提供商已经开始向启用 SSL/TLS 推荐系统的客户推出该功能。剩余的免费和专业版客户预计将从 9 月 16 日开始启用,商业和企业级客户也将陆续启用。


查看英文原文:

https://www.infoq.com/news/2024/08/cloudflare-automatic-ssl-origin/

2024-10-07 08:0012504

评论

发布
暂无评论
发现更多内容

可以学习一下安全方面的知识

escray

学习 极客时间 安全 5月日更 安全攻防技能30讲

分布式锁中的王者方案 - Redisson

悟空聊架构

redis 分布式 分布式锁 redisson

【LeetCode】增长的内存泄露Java题解

Albert

算法 LeetCode 5月日更

聊聊一个普通程序员在520这天的心态

后台技术汇

520 单身福利

架构实战营 模块四作业

netspecial

架构实战营

Flink的程序结构

大数据技术指南

flink 5月日更

多线程 VS 多进程(三)

若尘

多线程 Python编程 5月日更

kube-controller-manager之PV Cotroller源码分析

良凯尔

Kubernetes 源码分析 Ceph CSI

.Net Core Excel导入导出神器Npoi.Mapper

yi念之间

C# .net core npoi

梯度下降法 - DAY12

Qien Z.

5月日更 过拟合 梯度下降法

虽不能至,心向往之|靠谱点评

无量靠谱

🚄【Redis 干货领域】帮你完全搞定Cluster原理(架构篇)

码界西柚

redis redis集群 5月日更 redis架构

Mac电脑:安装cnpm(补充步骤)

三掌柜

5月日更

爱情从来都不是简单的事

阿泽🧸

520单身福利

设计千万级学生管理系统的考试试卷存储方案

贯通

架构实战营

NLog整合Exceptionless

yi念之间

.net core exceptionless nlog

华仔训练营模块4作业

方堃

活性炭能去甲醛吗?

小天同学

科普 5月日更 活性炭

低代码/无代码和简单API

YonBuilder低代码开发平台

低代码

加油!未来的每一天

Sherry

520单身福利 520 单身福利

感恩父母

若兮

520 单身福利

Python数据科学基础-Pandas介绍

五分钟学大数据

数据科学 5月日更

Node.js使用数据库LevelDB:超高性能kv存储引擎

devpoint

nodejs leveldb

WebContainers介绍:如何在浏览器运行原生的Nodejs

代码先生

大前端 webassembly 技术创新 WebContainers StackBlitz.com

ArrayList与LinkedList性能大PK

Damon

java基础 5月日更

网络攻防学习笔记 Day22

穿过生命散发芬芳

5月日更 网络攻防

翻译:谁将在AI中赚钱?by Simon Greenman John 易筋 ARTS 打卡 Week 48

John(易筋)

ARTS 打卡计划

分布式锁

邱学喆

分布式锁 redis分布式锁 zookeeper分布式锁

打破固有思维(十六)

Changing Lin

5月日更

拿金钱考验人性|靠谱点评

无量靠谱

☕【JVM技术之旅】彻底弄清楚Minor GC和Major GC及Full GC

码界西柚

JVM 垃圾回收 GC 5月日更

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接_框架_InfoQ精选文章