Überblick über Keyless SSL

Mit Keyless SSL können Websites den SSL-Service von Cloudflare nutzen und gleichzeitig ihre privaten Schlüssel vor Ort aufbewahren. Dies ist eine brandneue Sicherheitstechnologie, die von einem Team aus Kryptographen, Systemingenieuren und Netzwerkspezialisten bei Cloudflare entwickelt wurde.

Beim standardmäßigen SSL-Service von Cloudflare muss ein Kunde den SSL-Schlüssel seiner Website an Cloud weitergeben. Cloudflare schützt die Sicherheit der Schlüsseldaten seiner Kunden durch umfangreiche technische Maßnahmen. Bei einigen Kunden gibt es jedoch Richtlinien oder technische Hindernisse, die die Weitergabe der SSL-Schlüssel ihrer Website an Cloudflare unmöglich machen. Deshalb freuen wir uns, Keyless SSL vorstellen zu dürfen.

Sie sind bereits Cloudflare-Kunde? Anmelden

Warum Keyless SSL verwenden?

Die meisten Kunden haben zwar nichts dagegen, dass Cloudflare ihre privaten Schlüssel verwaltet, aber in einigen Fällen gibt es individuelle Sicherheitsanforderungen, die das unmöglich machen. Durch Keyless SSL kann der Nutzer die Schlüssel weiterhin selbst kontrollieren und trotzdem verschlüsselten Traffic durch das globale Cloudflare-Netzwerk routen.

Mit Keyless SSL kann eine Organisation zum ersten Mal eine unendlich skalierbare und elastische Lösung wie Cloudflare nutzen, ohne ihren SSL-Schlüssel weiterzugeben. Unternehmen können alle Vorteile der Cloud nutzen (Bekämpfung von DDoS-Angriffen, Lastverteilung, WAN Optimization), ohne zwischen der Verschlüsselung des Web-Traffics oder der Weitergabe ihrer privaten SSL-Schlüssel an einen Cloud-Drittanbieter wählen zu müssen.

So funktioniert Keyless SSL

Hinweis: Für Keyless SSL muss Cloudflare Traffic entschlüsseln, untersuchen und für die Übertragung zurück zum Ursprungsserver eines Kunden wieder verschlüsseln.

Bei Nicht-SSL-Traffic über Cloudflare gibt es 3 Beteiligte: Den Client (z. B. ein Webbrowser), den Cloudflare-Edge-Knoten und den Ursprungsserver des Kunden.

Bei SSL-Traffic mit aktiviertem Keyless SSL gibt es einen zusätzlichen Endpunkt bei der Erstellung der ersten SSL-Sitzung, danach wird die normale Übertragung wieder aufgenommen.

Die Anfrage-Abfolge bei Keyless-SSL-Transaktionen ist wie folgt:

1a. Der Client (z. B. Webbrowser) nimmt per Anycast-Routing Verbindung zu dem Cloudflare-Edge-Knoten auf, der dem Kunden am nächsten ist. Der Client sendet ein Secret an den Edge-Server, das mit dem öffentlichen Schlüssel der Website verschlüsselt wurde.

1b. Der Edge-Server kontaktiert den Schlüssel-Server und authentifiziert sich mit einem Zertifikat. Der Edge-Server sendet das verschlüsselte Secret zur Entschlüsselung an den Schlüssel-Server. Der Schlüssel-Server gibt das entschlüsselte Secret über einen verschlüsselten Tunnel zurück.

2a. Client und Server nutzen das gemeinsame Secret für den Aufbau einer sicheren Verbindung. Der Client (z. B. Webbrowser) stellt über HTTPS eine Anfrage nach einer Cloudflare-basierten Kunden-Ressource.

2b. Der Cloudflare-Edge-Knoten (der Sitzungsserver) entschlüsselt, untersucht und verarbeitet die Originalanfrage.

Der Authentifizierungsschritt geschieht nur einmal pro Sitzung, weitere Anfragen innerhalb der Sitzung erfordern keine zusätzliche Rückfrage beim Schlüssel-Server. Die Standardeinstellung für die SSL-Sitzungs-TTL (Time To Live) beträgt 18 Stunden, der Kunde kann sie zwischen 5 Minuten und 48 Stunden variieren.

Weitere Details zu Keyless SSL finden Sie in diesem Blogbeitrag.

Sicherheits-Audits durch Dritte

Cloudflares Keyless-SSL-Kryptographie wurde von iSEC Partners gemeinsam mit Matasano Security überprüft. Beide gehören zur NCC Group, dem weltweit führenden Anbieter bei Anwendungssicherheit und kryptographischen Gutachten.

So bekommen Sie Zugang zu Keyless SSL

Keyless SSL wird anfangs nur für Kunden mit Enterprise Plan verfügbar sein. Weitere Informationen zum Enterprise Plan und zu Keyless SSL erhalten Sie von unserem Vertriebsteam.

Die Einrichtung von Cloudflare ist ganz leicht



Richten Sie eine Domain in weniger als 5 Minuten ein. Behalten Sie Ihren Hosting-Anbieter. Keine Codeänderungen erforderlich.


Millionen von Internetwebsites vertrauen auf uns

Logo mars trusted by grau
Logo loreal trusted by grau
Logo doordash trusted by grau
Logo garmin trusted by grau
Logo ibm trusted by grau
Logo 23andme trusted by grau
Logo shopify trusted by grau
Logo lending tree trusted by grau
Logo labcorp trusted by grau
Logo ncr trusted by grau
Logo thomson reuters trusted by grau
Logo zendesk trusted by grau