Использование конфигураций SSL / TLS CloudFlare – CloudSavvy IT

Практически всегда необходимо защищать свой сайт с помощью сертификата SSL. Это не только увеличивает SEO вашего сайта, но и укрепляет доверие посетителей к вашему сайту. Здесь мы исследуем, что CloudFlare предлагает в отношении SSL / TLS, и как вы можете воспользоваться этими опциями для защиты своего сайта и повышения производительности.

CloudFlare внедряет инновации в области безопасности в течение многих лет и постоянно работает над тем, чтобы упростить работу как конечным пользователям, так и разработчикам. CloudFlare, одна из первых компаний, предлагающих бесплатный SSL-сертификат для любого сайта, также расширила свои предложения, технологическую сложность и настройки безопасности.

Пакеты CloudFlare SSL / TLS

CloudFlare предлагает несколько различных возможностей. Просто понять, какой из них будет для вас наиболее разумным, – это первый шаг.

Универсальный SSL

Универсальный SSL – одно из первых и самых популярных предложений SSL – это бесплатное предложение от CloudFlare. При условии, что CloudFlare является вашим авторитетным поставщиком DNS (необходимо для полного использования CloudFlare), новый универсальный сертификат SSL будет выпущен в течение 15 минут после активации домена. У бесплатного предложения есть ограничения:

• Не совместим со всеми версиями браузеров и операционных систем.
• Универсальный SSL предлагает общий сертификат, что означает, что вы можете видеть доменные имена других клиентов в альтернативных именах субъектов.
• Охватывает только субдомены первого уровня (т. Е. dev.www.example.com не будет работать с SSL).

Расширенный диспетчер сертификатов (ранее выделенный SSL)

Недавно CloudFlare выпустила расширенный диспетчер сертификатов. За 10 долларов в месяц вы можете создавать свои сертификаты с некоторыми уникальными функциями:

• Настраиваемые альтернативные имена субъектов (SAN) для покрытия, например, субдомена второго уровня [dev.www.example.com](<http://dev.www.example.com>)
• Удаляет брендинг CloudFlare из сертификата
• Регулирует срок службы сертификатов и контролирует комплекты шифров

Это можно включить, перейдя на вкладку SSL / TLS из домена CloudFlare и нажав Заказать расширенный сертификат.

Пользовательский SSL (только для корпоративных и корпоративных клиентов)

Эта опция позволяет клиенту загрузить свой сертификат, который он, возможно, приобрел или создал отдельно. Обычно это клиенты с сертификатами расширенной проверки (EV) или сертификатами, подтвержденными организацией (OV). Самозаверяющие сертификаты, не подписанные действующим центром сертификации, здесь не работают.

SSL без ключа (только для корпоративных клиентов)

Наконец, опция SSL без ключа – это расширенная конфигурация, разработанная для компаний, у которых есть политики, ограничивающие контроль над закрытым ключом сертификатов. Этот процесс добавляет некоторую задержку к запросу, так как ключ хранится на сервере ключей, управляемом клиентом, с которым CloudFlare необходимо будет связаться для правильного обслуживания контента.

Сертификаты исходного сервера

Одним из преимуществ универсального SSL было то, что вы могли шифровать трафик браузера / клиента к CloudFlare, но не обязательно от CloudFlare к серверу Origin (веб-хосту). Это означало, что для многих веб-хостов, которые не были должным образом настроены для управления сертификатами, владелец веб-сайта по-прежнему сможет передавать зашифрованный трафик в браузер.

Это не совсем безопасно, так как трафик от CloudFlare к веб-хосту не будет зашифрован и может быть прочитан с помощью атаки типа «человек посередине». Чтобы смягчить это, у вас есть несколько вариантов.

• Гибкий – Вариант по умолчанию без шифрования сервера Origin
• Полный – Шифрование исходного сервера, но с использованием самозаверяющего сертификата (т.е. без покупки сертификата)
• Полный (строгий) – Подтверждение того, что сервер Origin использует правильно подписанный сертификат

При использовании параметра “Полный (строгий)” есть несколько дополнительных способов сделать это правильно »

• Сертификат Let’s Encrypt – Используя бесплатные SSL-сертификаты, предлагаемые Let’s Encrypt, у вас будет действующий сертификат, шифрующий соединение между вашим сервером Origin и CloudFlare.
• Сертификат CA CloudFlare Origin – Возможно, еще проще использовать функцию сертификатов происхождения CloudFlare для создания сертификата, который вы можете загрузить и установить на свой веб-хост, которому CloudFlare будет доверять.

Конфигурации CloudFlare SSL / TLS

Теперь, когда вы понимаете, как CloudFlare SSL / TLS работает для данного домена, давайте рассмотрим некоторые из доступных вариантов для настройки и защиты взаимодействия с клиентами. Они могут быть изменены, но, как правило, добавлялись только с годами.

Всегда использовать HTTP

Простой вариант переключателя заставляет все HTTP запросы на возврат 301 редиректа на эквивалент HTTPS URL. Это распространяется на весь домен, и если вам нужно более точное правило, используйте правило страницы «Всегда использовать HTTPS» для нацеливания на определенный маршрут.

Строгая безопасность транспорта HTTP (HSTS)

HSTS – это обширная тема, по которой следует учитывать множество соображений, но этот параметр добавляет заголовок к запросу, который позволяет веб-сайту определять и применять политику безопасности в клиентских веб-браузерах. Это помогает защитить веб-сайт от множества различных типов атак.

Если SSL будет отключен в любой момент, ваши посетители могут потерять доступ к вашему сайту на время кэшированного max-age заголовки, или до тех пор, пока HTTPS не будет восстановлен и заголовок HSTS со значением 0 обслуживается.

Минимальная версия TLS

В наши дни настоятельно рекомендуется установить минимальную версию TLS. 1.2 используется, так как более старые версии подвержены атакам. Самая новая версия, 1.3 еще не получил широкого распространения, поэтому не рекомендуется устанавливать его в качестве минимальной версии.

Оппортунистическое шифрование

Этот параметр не предназначен для замены HTTP. Этот параметр сообщает браузерам, что зашифрованная версия сайта доступна для других протоколов, таких как HTTP / 2. Это следует использовать вместе с обычной конфигурацией SSL / TLS.

TLS 1.3

Это новейшая версия протокола TLS, в которой содержится множество улучшений. Эта версия до сих пор не получила широкого распространения и не заблокирована в некоторых странах, поэтому разумно включить эту версию протокола, но не полагаться на нее.

Автоматическая перезапись HTTPS

Чтобы помочь в устранении проблем со смешанным содержимым, т. Е. Ссылки не по протоколу HTTPS на странице HTTPS, вы можете использовать возможность CloudFlare для перезаписи содержимого страницы до обращения к клиенту с просьбой исправить эти ссылки. Это не идеально, но позволяет выявлять множество несогласованных ссылок. В идеале должен быть исправлен сам контент.

Мониторинг прозрачности сертификатов

Более новая бета-функция, она отправляет по электронной почте оповещения владельцу учетной записи, когда для этого конкретного домена выдается новый сертификат. Это помогает в качестве системы раннего предупреждения, если злоумышленник попытается выдать сертификат для вашего домена.

Отключить универсальный SSL

Наконец, у вас есть возможность полностью отключить универсальный SSL. Обычно это не используется, если у вас нет особых потребностей.

Вывод

CloudFlare предлагает обширные функции и возможности для безопасного и эффективного управления сертификатами сайтов. CloudFlare постоянно добавляет новые функции, как в бесплатные, так и в платные варианты. CloudFlare сложно превзойти с точки зрения SSL и безопасности, особенно с их бесплатным предложением!