Cloudflare 推出自动化 SSL/TLS 功能,简化源服务器连接并提升安全性
2024年9月10日 -云服务提供商 Cloudflare 近日宣布推出新的自动化 SSL/TLS 设置,旨在简化供应商与源服务器通信的加密模式,并提升安全性。这一功能通过自动配置,确保安全连接,同时避免站点停机风险。
Cloudflare 的自动化 SSL/TLS 利用其 SSL/TLS 推荐系统,自动执行一系列从 Cloudflare 到自定义源的请求,这些请求包含不同的 SSL/TLS 设置,以确定后端通信是否可以升级到当前配置以外的模式。
Cloudflare 产品经理 Alex Krivit、软件研究工程师 Suleman Ahmad、软件工程师 J Evans 和系统工程师 Yawar Jamal 在解释该功能的重要意义时指出,确保源服务器上证书的正确配置以及告知 Cloudflare 如何与源服务器通信,一直是一个令人担忧的问题。错误配置可能会导致停机现象,而手动配置则需要在源服务器和 Cloudflare 设置中进行更改,这并非易事。
为了解决这一问题,Cloudflare 提供了多种技术,例如认证源拉取 (Authenticated Origin Pulls)、Cloudflare 通道 (Cloudflare Tunnels)和证书授权,以帮助客户配置与源服务器之间的通信。然而,这些方案仍然需要手动配置。
Cloudflare 为与源服务器的 SSL/TLS 连接提供了五个选项:Off、Flexible、Full、Full (Strict) 和 Strict。在 Strict 模式下,从浏览器到 Cloudflare 的所有请求,无论是 HTTP 还是 HTTPS,都将始终通过 HTTPS 连接到源服务器,并验证源服务器的证书。
Cloudflare 在十年前推出了通用 SSL (Universal SSL),并在 2022 年承诺为客户提供“从 Cloudflare 到源服务器最安全的自动化连接”。然而,该提供商承认,推出这一功能所花费的时间比预期的要长。
Krivit、Ahmad、Evans 和 Jamal 补充说:“我们花了更多的时间来平衡增强的安全性和无缝的网站功能,尤其是源服务器的安全配置和功能超出了 Cloudflare 直接控制的范围。”
由于Cloudflare 作为客户端和客户源服务器之间的中介,需要建立两个独立的 TLS 连接:一个是用户浏览器和 Cloudflare 网络之间的连接,另一个是 Cloudflare 网络和源服务器之间的连接。与保护客户端和 Cloudflare 之间的连接不同,管理源服务器的安全功能更具挑战性。
在 Hacker News 的一个热门主题中,用户 amluto 评论道:“Cloudflare 正在谈论 Cloudflare 通道的安全优势。它们很可能非常安全,但我希望 Cloudflare 能清理一下他们的配置系统,使配置真正与行为相匹配。”
其他用户也表达了对“零信任 (Zero Trust)”门户的可用性以及越来越多的可用选项的担忧。用户 LinuxBender 补充说:“这会将人工操作从证书源的循环中排除,我可以看到在 Encrypted Client Hello (ECH) 在所有设备上得到普遍支持之前,增加一个隐私保护步骤的机会。”
Cloudflare 已经开始向启用 SSL/TLS 推荐系统的客户推出该功能。剩余的免费和专业版客户预计将从 9 月 16 日开始启用,商业和企业级客户也将陆续启用。
这一新功能的推出,标志着 Cloudflare 在简化源服务器连接和提升安全性方面迈出了重要一步。它将帮助用户更轻松地配置安全连接,并提高网站的整体安全性。
Views: 0