Información general sobre Keyless SSL

Cómo funciona Keyless SSL

Nota: Keyless SSL requiere que Cloudflare descifre, inspeccione y vuelva a cifrar el tráfico para que se transmita de vuelta al origen del cliente.

En el tráfico no SSL a través de Cloudflare existen 3 partes: Cliente (por ejemplo, navegador web), nodo de extremo de Cloudflare y servidor de origen del Cliente.

Para el tráfico SSL con Keyless SSL habilitado, hay un punto de conexión adicional involucrado en la creación de la sesión SSL inicial, después de la cual se reanuda la transmisión normal.

El flujo de solicitudes para transacciones Keyless SSL es el siguiente:

1a. El cliente (por ejemplo, el navegador web) se conecta al nodo de extremo de Cloudflare más cercano al cliente, a través del enrutamiento de Anycast. El cliente envía un secreto al servidor edge cifrado con la clave pública del sitio.

1b. El servidor edge contacta con el servidor de claves, autenticándose con un certificado. El servidor Edge envía el secreto cifrado al servidor de claves para descifrarlo. El servidor de claves devuelve el secreto descifrado a través de un túnel cifrado.

2a. Tanto el cliente como el servidor utilizan el secreto compartido para establecer una conexión segura. El cliente (por ejemplo, el navegador web) realiza una solicitud a través de HTTPS para el recurso del cliente con tecnología Cloudflare.

2b. El nodo de extremo de Cloudflare (el servidor de sesión) descifra, inspecciona y procesa la solicitud original.

El paso de autenticación ocurre solo una vez por sesión; las solicitudes adicionales dentro de la sesión no requieren una verificación adicional al servidor de claves. El cliente puede modificar el TTL (time to live) de la sesión SSL predeterminada de 18 horas a tan solo 5 minutos o a tanto como 48 horas.

Para conocer más detalles sobre Keyless SSL, visita esta entrada del blog.