Überblick über Keyless SSL
Mit Keyless SSL können Websites den SSL-Service von Cloudflare nutzen und gleichzeitig ihre privaten Schlüssel vor Ort aufbewahren. Dies ist eine brandneue Sicherheitstechnologie, die von einem Team aus Kryptographen, Systemingenieuren und Netzwerkspezialisten bei Cloudflare entwickelt wurde.
Beim standardmäßigen SSL-Service von Cloudflare muss ein Kunde den SSL-Schlüssel seiner Website an Cloud weitergeben. Cloudflare schützt die Sicherheit der Schlüsseldaten seiner Kunden durch umfangreiche technische Maßnahmen. Bei einigen Kunden gibt es jedoch Richtlinien oder technische Hindernisse, die die Weitergabe der SSL-Schlüssel ihrer Website an Cloudflare unmöglich machen. Deshalb freuen wir uns, Keyless SSL vorstellen zu dürfen.
Sie sind bereits Cloudflare-Kunde? Anmelden
Warum Keyless SSL verwenden?
Die meisten Kunden haben zwar nichts dagegen, dass Cloudflare ihre privaten Schlüssel verwaltet, aber in einigen Fällen gibt es individuelle Sicherheitsanforderungen, die das unmöglich machen. Durch Keyless SSL kann der Nutzer die Schlüssel weiterhin selbst kontrollieren und trotzdem verschlüsselten Traffic durch das globale Cloudflare-Netzwerk routen.
Mit Keyless SSL kann eine Organisation zum ersten Mal eine unendlich skalierbare und elastische Lösung wie Cloudflare nutzen, ohne ihren SSL-Schlüssel weiterzugeben. Unternehmen können alle Vorteile der Cloud nutzen (Bekämpfung von DDoS-Angriffen, Lastverteilung, WAN Optimization), ohne zwischen der Verschlüsselung des Web-Traffics oder der Weitergabe ihrer privaten SSL-Schlüssel an einen Cloud-Drittanbieter wählen zu müssen.
So funktioniert Keyless SSL
Hinweis: Für Keyless SSL muss Cloudflare Traffic entschlüsseln, untersuchen und für die Übertragung zurück zum Ursprungsserver eines Kunden wieder verschlüsseln.
Bei Nicht-SSL-Traffic über Cloudflare gibt es 3 Beteiligte: Den Client (z. B. ein Webbrowser), den Cloudflare-Edge-Knoten und den Ursprungsserver des Kunden.
Bei SSL-Traffic mit aktiviertem Keyless SSL gibt es einen zusätzlichen Endpunkt bei der Erstellung der ersten SSL-Sitzung, danach wird die normale Übertragung wieder aufgenommen.
Die Anfrage-Abfolge bei Keyless-SSL-Transaktionen ist wie folgt:
1a. Der Client (z. B. Webbrowser) nimmt per Anycast-Routing Verbindung zu dem Cloudflare-Edge-Knoten auf, der dem Kunden am nächsten ist. Der Client sendet ein Secret an den Edge-Server, das mit dem öffentlichen Schlüssel der Website verschlüsselt wurde.
1b. Der Edge-Server kontaktiert den Schlüssel-Server und authentifiziert sich mit einem Zertifikat. Der Edge-Server sendet das verschlüsselte Secret zur Entschlüsselung an den Schlüssel-Server. Der Schlüssel-Server gibt das entschlüsselte Secret über einen verschlüsselten Tunnel zurück.
2a. Client und Server nutzen das gemeinsame Secret für den Aufbau einer sicheren Verbindung. Der Client (z. B. Webbrowser) stellt über HTTPS eine Anfrage nach einer Cloudflare-basierten Kunden-Ressource.
2b. Der Cloudflare-Edge-Knoten (der Sitzungsserver) entschlüsselt, untersucht und verarbeitet die Originalanfrage.
Weitere Details zu Keyless SSL finden Sie in diesem Blogbeitrag.
Die Einrichtung von Cloudflare ist ganz leicht
Richten Sie eine Domain in weniger als 5 Minuten ein. Behalten Sie Ihren Hosting-Anbieter. Keine Codeänderungen erforderlich.
Millionen von Internetwebsites vertrauen auf uns
