写点什么

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接

作者:Renato Losio

  • 2024-10-07
    北京
  • 本文字数:1289 字

    阅读完需:约 4 分钟

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接

Cloudflare 最近引入了新的自动化 SSL/TLS 设置,以简化供应商与源服务器通信的加密模式。这个特性提供了自动化配置,确保安全性,同时不会有站点停机的风险。


自动化的 SSL/TLS 通过利用 Cloudflare SSL/TLS 推荐系统来强化 Cloudflare 和源服务器之间的加密模式。这个推荐系统会自动执行一系列从 Cloudflare 到自定义源的请求,请求中会带有不同的 SSL/TLS 设置,以确定后端通信是否可以升级到当前配置以外的模式。Cloudflare 的产品经理 Alex Krivit、Cloudflare 软件研究工程师 Suleman Ahmad、Cloudflare 软件工程师 J Evans 和 Cloudflare 系统工程师 Yawar Jamal 解释了该特性的重要性:


确保在源服务器上正确配置证书,并告知 Cloudflare 应该如何与源进行通信,这种方式可能会让人心怀忐忑,因为如果没有正确部署或配置,错误配置可能会导致停机现象的出现。


虽然 Cloudflare 已经提供了各种技术,比如,认证源拉取(Authenticated Origin Pulls)、Cloudflare 通道(Cloudflare Tunnels) 和证书授权,以帮助客户配置与源服务器之间的通信,但这些方案仍然需要在源服务器和 Cloudflare 设置中进行手动配置的更改。



图片来源:Cloudflare 博客


Cloudflare 为与源服务器的 SSL/TLS 连接提供了五个选项,分别是 Off、Flexible、Full、Full(Strict)和 Strict。在 Strict 模式下,从浏览器到 Cloudflare 的所有请求,无论是 HTTP 还是 HTTPS,都将始终通过 HTTPS 连接到源服务器,并验证源服务器的证书。


十年前,Cloudflare 推出了通用 SSL(Universal SSL),并在 2022 年承诺为客户提供“从 Cloudflare 到源服务器最安全的自动化连接”,同时阐明了大规模配置源 SSL 所面临的挑战。该提供商现在承认,推出这一功能所花费的时间比预期的要长。Krivit、Ahmad、Evans 和 Jamal 补充说:


我们花了更多的时间来平衡增强的安全性和无缝的网站功能,尤其是源服务器的安全配置和功能超出了 Cloudflare 直接控制的范围。


由于 Cloudflare 是客户端和客户源服务器之间的中介,因此需要建立两个独立的 TLS 连接:一个是用户浏览器和 Cloudflare 网络之间的连接,另一个是 Cloudflare 网络和源服务器之间的连接。与保护客户端和 Cloudflare 之间的连接不同,管理源服务器的安全功能更具挑战性。在 Hacker News 的一个热门主题中,用户 amluto 发表了这样的评论:


Cloudflare 正在谈论 Cloudflare 通道的安全优势。它们很可能非常安全,但我希望 Cloudflare 能清理一下他们的配置系统,使配置真正与行为相匹配。从 DNS 名称到路由的映射设置不应该称为 DNS,也绝对不应假装成 CNAME。


其他用户讨论了“零信任(Zero Trust)”门户的可用性,并对越来越多的可用选项表示担忧。用户 LinuxBender 补充说:


这会将人工操作从证书源的循环中排除,我可以看到在 Encrypted Client Hello(ECH)在所有设备上得到普遍支持之前,增加一个隐私保护步骤的机会。


该云提供商已经开始向启用 SSL/TLS 推荐系统的客户推出该功能。剩余的免费和专业版客户预计将从 9 月 16 日开始启用,商业和企业级客户也将陆续启用。


查看英文原文:

https://www.infoq.com/news/2024/08/cloudflare-automatic-ssl-origin/

2024-10-07 08:0012922

评论

发布
暂无评论
发现更多内容

我是如何在五年阿里面试官的连珠炮问下三面斩获Java岗offer,最后定级P6的呢?

Java~~~

讲真,你知道Python咋来的吗?

华为云开发者联盟

Java Python 编程语言 C语言 代码

Python进阶——什么是上下文管理器?

Kaito

Python

Week 10 作业

黄立

Redis面试受阻?阿里P8架构师整理出的核心笔记+实战+面试题+脑图送你

比伯

Java 编程 程序员 面试 计算机

架构师训练营第 1 期 - 第十周作业

Todd-Lee

极客大学架构师训练营

阿里要求其内部程序员必须精通的并发编程笔记:原理+模式+应用

Java架构追梦

阿里巴巴 编程 面试 并发 java架构

食堂就餐卡系统UML设计

简简单单

架构师训练营第十周课后作业

Gosling

极客大学架构师训练营

清华大佬马士兵告诉你从阿里P5级一直学到P8架构师的成长路线+视频教程!

比伯

Java 编程 架构 面试 计算机

学习工作即游戏:游戏化生存的现实物语

脑极体

WSL2:我在原生的Win10玩转Linux系统

梁桂钊

五周 - 总结

水浴清风

数仓搬迁:从方法到实践,带你解决数据一致性对比

华为云开发者联盟

数据仓库 数据 存储 数据校验 搬迁

《具有算法和程序的离散数学基础》PDF免费下载

计算机与AI

算法 离散数学

Linux IO模式及 select、poll、epoll详解(含部分实例源码)

linux大本营

c++ Linux 后台开发 异步IO epoll

多线程源码明白了吗?不明白的话来看腾讯大牛给你画的面试重点

小Q

Java 学习 架构 面试 线程

区块链技术赋能信息通信行业信用监管

CECBC

区块链 信用

架构师训练营第 10 周学习总结

netspecial

极客大学架构师训练营

我就不信2W字把源码拆的这么碎,你还不明白mybatis缓存

996小迁

Java 源码 架构 面试 mybatis

一张图彻底理解Spring如何解决循环依赖!!

冰河

spring aop ioc 源码解析 循环依赖

go-zero 如何扛住流量冲击(二)

万俊峰Kevin

microservice Go 语言

iOS 项目避坑:多个分类中方法重复实现检测

iOSer

ios 项目管理 编程语言 iOS Document

深入浅出Spark

大数志

大数据 spark 数据科学

tcp/ip协议栈——epoll的内部实现原理

Linux服务器开发

后端 TCP/IP epoll 网络协议栈 服务器开发

如何应对Spark-Redis行海量数据插入、查询作业时碰到的问题

华为云开发者联盟

数据库 redis spark 开源 数据

精心整理MySQL基本使用(数据库的操作、数据类型、MySQL的常用命令)

ShenDu_Linux

c++ MySQL 程序员 数据类型

白皮书丨关于工业互联网,你想知道的都在这儿

华为云开发者联盟

工业互联网 华为云 白皮书 ICT 智能

架构师训练营第 1 期 - 第十周总结

Todd-Lee

极客大学架构师训练营

和同事交流不会kafka怎么行,API奉上,不是大神也能编

小Q

Java 学习 架构 面试

让“数字鸿沟”变为“数字通途”

CECBC

数字化时代 支付产品

Cloudflare 引入自动化 SSL/TLS 以保护和简化源服务器连接_框架_InfoQ精选文章