Überblick über Keyless SSL

Mit Keyless SSL können Websites den SSL-Service von Cloudflare nutzen und gleichzeitig ihre privaten Schlüssel vor Ort aufbewahren. Dies ist eine brandneue Sicherheitstechnologie, die von einem Team aus Kryptographen, Systemingenieuren und Netzwerkspezialisten bei Cloudflare entwickelt wurde.

Beim standardmäßigen SSL-Service von Cloudflare muss ein Kunde den SSL-Schlüssel seiner Website an Cloud weitergeben. Cloudflare schützt die Sicherheit der Schlüsseldaten seiner Kunden durch umfangreiche technische Maßnahmen. Bei einigen Kunden gibt es jedoch Richtlinien oder technische Hindernisse, die die Weitergabe der SSL-Schlüssel ihrer Website an Cloudflare unmöglich machen. Deshalb freuen wir uns, Keyless SSL vorstellen zu dürfen.

Sie sind bereits Cloudflare-Kunde? Anmelden

keyless hsm

Warum Keyless SSL verwenden?

Die meisten Kunden haben zwar nichts dagegen, dass Cloudflare ihre privaten Schlüssel verwaltet, aber in einigen Fällen gibt es individuelle Sicherheitsanforderungen, die das unmöglich machen. Durch Keyless SSL kann der Nutzer die Schlüssel weiterhin selbst kontrollieren und trotzdem verschlüsselten Traffic durch das globale Cloudflare-Netzwerk routen.

Mit Keyless SSL kann eine Organisation zum ersten Mal eine unendlich skalierbare und elastische Lösung wie Cloudflare nutzen, ohne ihren SSL-Schlüssel weiterzugeben. Unternehmen können alle Vorteile der Cloud nutzen (Bekämpfung von DDoS-Angriffen, Lastverteilung, WAN-Optimierung), ohne zwischen der Verschlüsselung des Web-Verkehrs oder der Weitergabe ihrer privaten SSL-Schlüssel an einen Cloud-Drittanbieter wählen zu müssen.

So funktioniert Keyless SSL

So funktioniert Keyless SSL

Hinweis: Für Keyless SSL muss Cloudflare Traffic entschlüsseln, untersuchen und für die Übertragung zurück zum Ursprungsserver eines Kunden wieder verschlüsseln.

Bei Nicht-SSL-Traffic über Cloudflare gibt es 3 Beteiligte: Den Client (z. B. ein Webbrowser), den Cloudflare-Edge-Knoten und den Ursprungsserver des Kunden.

Bei SSL-Traffic mit aktiviertem Keyless SSL gibt es einen zusätzlichen Endpunkt bei der Erstellung der ersten SSL-Sitzung, danach wird die normale Übertragung wieder aufgenommen.

Die Anfrage-Abfolge bei Keyless-SSL-Transaktionen ist wie folgt:

1a. Der Client (z. B. Webbrowser) nimmt per Anycast-Routing Verbindung zu dem Cloudflare-Edge-Knoten auf, der dem Kunden am nächsten ist. Der Client sendet ein Secret an den Edge-Server, das mit dem öffentlichen Schlüssel der Website verschlüsselt wurde.

1b. Der Edge-Server kontaktiert den Schlüssel-Server und authentifiziert sich mit einem Zertifikat. Der Edge-Server sendet das verschlüsselte Secret zur Entschlüsselung an den Schlüssel-Server. Der Schlüssel-Server gibt das entschlüsselte Secret über einen verschlüsselten Tunnel zurück.

2a. Client und Server nutzen das gemeinsame Secret für den Aufbau einer sicheren Verbindung. Der Client (z. B. Webbrowser) stellt über HTTPS eine Anfrage nach einer Cloudflare-basierten Kunden-Ressource.

2b. Der Cloudflare-Edge-Knoten (der Sitzungsserver) entschlüsselt, untersucht und verarbeitet die Originalanfrage.

Der Authentifizierungsschritt geschieht nur einmal pro Sitzung, weitere Anfragen innerhalb der Sitzung erfordern keine zusätzliche Rückfrage beim Schlüssel-Server. Die Standardeinstellung für die SSL-Sitzungs-TTL (Time To Live) beträgt 18 Stunden, der Kunde kann sie zwischen 5 Minuten und 48 Stunden variieren.

Weitere Details zu Keyless SSL finden Sie in diesem Blogbeitrag.

Sicherheits-Audits durch Dritte

Cloudflares Keyless-SSL-Kryptographie wurde von iSEC Partners gemeinsam mit Matasano Security überprüft. Beide gehören zur NCC Group, dem weltweit führenden Anbieter bei Anwendungssicherheit und kryptographischen Gutachten.

So bekommen Sie Zugang zu Keyless SSL

Keyless SSL wird anfangs nur für Kunden mit Enterprise Plan verfügbar sein. Weitere Informationen zum Enterprise Plan und zu Keyless SSL erhalten Sie von unserem Vertriebsteam.

Die Einrichtung von Cloudflare ist ganz leicht

Richten Sie eine Domäne in weniger als 5 Minuten ein. Behalten Sie Ihren Hosting-Anbieter. Keine Codeänderungen erforderlich.

Cloudflare Preisgestaltung

Jede Internetanwendung kann von Cloudflare profitieren.
Wählen Sie den Tarif, der Ihren Bedürfnissen entspricht.

Free $ 0 /Monat, pro Website
Einblenden, um weitere Informationen anzuzeigen Ausblenden
Für persönliche Websites, Blogs und jeden Benutzer, der Cloudflare testen möchte.

Mehr dazu

Der Free Plan umfasst alle der folgenden Features:
  • Zeitlich unbeschränkte Abwehr von DDoS-Angriffen
  • Globales CDN
  • Geteiltes SSL-Zertifikat
  • Zugriff auf Konto-Überwachungsprotokolle
  • 3 Page Rules
Alle Funktionen vergleichen
Pro $ 20 /Monat pro Website
Einblenden, um weitere Informationen anzuzeigen Ausblenden
Für professionelle Websites, Blogs und Portfolios, die grundlegende Sicherheit und Performance benötigen.

Mehr dazu

Der Pro Plan enthält alle Leistungen des Free Plans und zusätzlich:
  • Web Application Firewall (WAF) mit Cloudflare-Rulesets
  • Bildoptimierungen mit Polish™
  • Optimierungen für mobile Geräte mit Mirage™
  • I'm Under Attack™-Modus bei Angriffen
  • Zugriff auf Konto-Überwachungsprotokolle
  • 20 Page Rules
Alle Funktionen vergleichen
Business $ 200 /Monat pro Website
Einblenden, um weitere Informationen anzuzeigen Ausblenden
Für kleine E-Commerce-Websites und -Unternehmen, die erweiterte Sicherheit und Performance, PCI-Compliance und Prioritätssupport per E-Mail benötigen.

Mehr dazu

Der Business Plan enthält alle Leistungen des Pro Plans und zusätzlich:
  • Web Application Firewall (WAF) mit 25 benutzerdefinierten Rulesets
  • Upload von benutzerdefiniertem SSL-Zertifikat
  • PCI-Konformität dank Modus für Modern TLS Only und WAF
  • Bypass Cache on Cookie
  • Beschleunigte Bereitstellung dynamischer Inhalte mit Railgun™
  • Prioritätssupport per E-Mail
  • Zugriff auf Konto-Überwachungsprotokolle
  • 50 Page Rules
Alle Funktionen vergleichen
Enterprise Kontakt aufnehmen
Einblenden, um weitere Informationen anzuzeigen Ausblenden
Für Unternehmen, die Sicherheit und Performance auf Enterprise-Niveau, priorisierten Rund-um-die-Uhr-Support per Telefon, E-Mail oder Chat und garantierte Betriebszeit benötigen.

Mehr dazu

Der Enterprise Plan enthält alle Leistungen des Business Plans und zusätzlich:
  • Support auf Enterprise-Niveau per Telefon, E-Mail oder Chat, rund um die Uhr an 365 Tagen im Jahr
  • SLA mit Garantie für 100 % Verfügbarkeit und Erstattung des 25-fachen Betrags
  • DDoS-Schutz auf Enterprise-Niveau mit Netzwerkpriorisierung
  • Erweiterte Web Application Firewall (WAF) mit unbegrenzten benutzerdefinierten Rulesets
  • Rollenbasierter Kontozugriff für mehrere Benutzer
  • Upload von mehreren benutzerdefinierten SSL-Zertifikaten
  • Zugriff auf Raw Logs
  • Zugriff auf Konto-Überwachungsprotokolle
  • Zugeteilte Solution- und Customer Success Engineers
  • Zugriff auf chinesische CDN-Rechenzentren (zusätzliche Gebühren)
  • 100 Page Rules
Alle Funktionen vergleichen

Free

$ 0 / Monat
 
Für persönliche Websites, Blogs und jeden Benutzer, der Cloudflare testen möchte.

Pro

$ 20 / Monat
pro Domain
Für professionelle Websites, Blogs und Portfolios, die grundlegende Sicherheit und Performance benötigen.

Business

$ 200 / Monat
pro Domain
Für kleine E-Commerce-Websites und -Unternehmen, die erweiterte Sicherheit und Performance, PCI-Compliance und Prioritätssupport per E-Mail benötigen.

Enterprise

Kontakt
 
Für Unternehmen, die Sicherheit und Performance auf Enterprise-Niveau, priorisierten Rund-um-die-Uhr-Support per Telefon, E-Mail oder Chat und garantierte Betriebszeit benötigen.

Diese Kunden verlassen sich auf uns

Über 25 Millionen Websites.

trustedby crunchbase black
trustedby ao com black
trustedby zendesk black
logo sofi gray 32px wrapper
trustedby log me in black
trustedby digital ocean black
trustedby okcupid black
trustedby montecito black
trustedby discord black
trustedby library of congress black
trustedby udacity black
trustedby marketo black