Поиск по сайту:

Использование конфигураций CloudFlare SSL/TLS

Почти всегда необходимо и рекомендуется защищать свой сайт с помощью SSL-сертификата. Это не только повышает SEO вашего сайта, но и повышает доверие посетителей к вашему сайту. Здесь мы рассмотрим, что CloudFlare предлагает в отношении SSL/TLS, и как вы можете воспользоваться этими опциями для защиты своего сайта и повышения производительности.

CloudFlare уже много лет внедряет инновации в области безопасности и постоянно работает над тем, чтобы упростить работу как конечных пользователей, так и разработчиков. CloudFlare, одна из первых компаний, предложивших бесплатный SSL-сертификат любому сайту, также расширила свои предложения, технологическую сложность и настройки безопасности.

CloudFlare SSL/TLS-пакеты

CloudFlare предлагает несколько различных возможностей. Просто понять, какой из них будет иметь для вас наибольший смысл, — это первый шаг.

Универсальный SSL

Универсальный SSL — одно из первых предложений SSL и самое популярное — это бесплатное предложение от CloudFlare. При условии, что CloudFlare является вашим авторитетным DNS-провайдером (что необходимо для использования всех преимуществ CloudFlare), новый универсальный SSL-сертификат будет выдан в течение 15 минут после активации домена. Существуют ограничения на бесплатное предложение:

  • Несовместимо со всеми версиями браузеров и операционных систем.
  • Универсальный SSL предлагает общий сертификат, что означает, что вы можете увидеть доменные имена других клиентов в альтернативных именах субъекта.
  • Охватывает только субдомены первого уровня (т. е. dev.www.example.com не будет работать с SSL).

Расширенный диспетчер сертификатов (ранее выделенный SSL)

Недавно CloudFlare выпустила Advanced Certificate Manager. За 10 долларов в месяц вы можете создавать сертификаты с некоторыми уникальными функциями:

  • Настраиваемые альтернативные имена субъекта (SAN) для охвата, например, поддомена второго уровня [dev.www.example.com]()
  • Удаляет брендинг CloudFlare из сертификата.
  • Настраивает срок действия сертификатов и управляет комплектами шифров.

Это можно включить, перейдя на вкладку SSL/TLS в домене CloudFlare и нажав «Заказать расширенный сертификат».

Пользовательский SSL (только для клиентов Business & Enterprise)

Этот параметр позволяет клиенту загрузить свой сертификат, который он мог приобрести или создать отдельно. Как правило, это клиенты с сертификатами расширенной проверки (EV) или с проверкой организации (OV). Самоподписанные сертификаты, не подписанные действительным центром сертификации, здесь работать не будут.

SSL без ключа (только для корпоративных клиентов)

Наконец, опция Keyless SSL — это расширенная конфигурация, предназначенная для компаний, в которых действуют политики, ограничивающие контроль над закрытым ключом сертификата. Этот процесс добавляет некоторую задержку к запросу, так как ключ хранится на сервере ключей, контролируемом клиентом, с которым CloudFlare необходимо будет связаться для правильного обслуживания контента.

Сертификаты исходного сервера

Одним из преимуществ универсального SSL было то, что вы могли шифровать трафик браузера/клиента к CloudFlare, но не обязательно от CloudFlare к серверу Origin (веб-хосту). Это означало, что для многих веб-хостов, которые не были должным образом настроены для управления сертификатами, владелец веб-сайта по-прежнему мог обслуживать зашифрованный трафик в браузере.

Это не совсем безопасно, так как трафик от CloudFlare к веб-хосту не будет зашифрован и может быть прочитан с использованием атаки типа «человек посередине». Чтобы смягчить это, у вас есть несколько вариантов.

  • Гибкий — вариант по умолчанию без шифрования сервера Origin
  • Полное — шифрование сервера Origin, но с использованием самозаверяющего сертификата (т. е. без покупки сертификата)
  • Полный (строгий) — проверка того, что сервер Origin использует правильно подписанный сертификат

С опцией Full (Strict) есть несколько дополнительных способов заставить это работать правильно ».

  • Сертификат Let’s Encrypt. Используя бесплатные SSL-сертификаты, предлагаемые Let’s Encrypt, вы получите действительный сертификат, шифрующий соединение между вашим сервером Origin и CloudFlare.
  • Сертификат ЦС CloudFlare Origin. Возможно, еще проще использовать функцию сертификатов происхождения CloudFlare для создания сертификата, который вы можете загрузить и установить на своем веб-узле, которому будет доверять CloudFlare.

Конфигурации CloudFlare SSL/TLS

Теперь, когда вы понимаете, как CloudFlare SSL/TLS работает для данного домена, давайте рассмотрим некоторые из доступных опций для настройки и защиты клиентского опыта. Они могут быть изменены, но, как правило, добавляются только с годами.

Всегда используйте HTTP

Простой переключатель заставляет все запросы HTTP возвращать перенаправление 301 на эквивалентный URL-адрес HTTPS. Это правило для всего домена, и если вам нужно более целевое правило, используйте правило страницы «Всегда использовать HTTPS» для таргетинга на определенный маршрут.

Строгая транспортная безопасность HTTP (HSTS)

HSTS — это длинная тема со многими соображениями, но этот параметр добавит заголовок к запросу, который позволяет веб-сайту указывать и применять политику безопасности в клиентских веб-браузерах. Это помогает защитить веб-сайт от различных типов атак.

Если SSL в какой-либо момент будет отключен, ваши посетители могут потерять доступ к вашему сайту на время действия кэшированных заголовков max-age или до восстановления HTTPS и заголовка HSTS со значением . 0 обслуживается.

Минимальная версия TLS

В наши дни настоятельно рекомендуется использовать минимальную версию TLS 1.2, так как более старые версии подвержены атакам. Самая новая версия, 1.3, еще не получила широкого распространения, поэтому не рекомендуется устанавливать ее в качестве минимальной версии.

Оппортунистическое шифрование

Не предназначенный для замены HTTP, этот параметр сообщает браузерам, что зашифрованная версия сайта доступна для других протоколов, таких как HTTP/2. Это следует использовать в сочетании с обычной конфигурацией SSL/TLS.

TLS 1.3

Это новейшая версия протокола TLS, в которой содержится множество улучшений. Эта версия до сих пор не получила широкого распространения и заблокирована в некоторых странах, поэтому разумно включить эту версию протокола, но не полагаться на нее.

Автоматическая перезапись HTTPS

Чтобы помочь в устранении проблем со смешанным содержимым, т. е. не-HTTPS-ссылки на HTTPS-странице, вы можете использовать возможность CloudFlare переписывать содержимое страницы, прежде чем обращаться к клиенту с просьбой исправить эти ссылки. Это не идеально, но улавливает много несовместимых ссылок. В идеале сам контент должен быть фиксированным.

Мониторинг прозрачности сертификатов

Новая бета-функция отправляет уведомления по электронной почте владельцу учетной записи, когда для этого конкретного домена выдается новый сертификат. Это помогает служить системой раннего предупреждения, если злоумышленник попытается выдать сертификат для вашего домена.

Отключить универсальный SSL

Наконец, у вас есть возможность полностью отключить универсальный SSL. Обычно это не используется, если у вас нет особой потребности.

Заключение

CloudFlare предлагает обширные функции и возможности для безопасного и эффективного управления сертификатами сайта. CloudFlare постоянно добавляет новые функции, как к бесплатным предложениям, так и к платным опциям. Что касается требований SSL и безопасности, CloudFlare трудно превзойти, особенно с их бесплатным предложением!