Cloudflareの無料SSL/TLS

できるだけ多くのWebトラフィックを暗号化してデータの盗難や改ざんを防ぐことは、より安全で優れたインターネットを構築するための重要なステップです。SSL保護を無料で提供する、初のインターネットパフォーマンスおよびセキュリティ企業になれたことを、Cloudflareは誇りに思っています。

ダッシュボードで表示

エンタープライズグレードのソリューションをお求めですか? 営業担当者へのお問い合わせ

cloudflare security illustration

SSLとは

SSLとは?

SSL(Secure Socket Layer)は、Webサーバーとブラウザ間の通信データを暗号化する標準的なセキュリティ技術です。通信が安全に行われることにより、転送されるすべてのデータをプライベートに保つことができます。SSLは、TLS(Transport Layer Security)とも呼ばれます。何百万ものWebサイトは顧客データをのぞき見や改ざんから保護するために、SSL暗号化を日常的に使用して安全な通信を確保しています。

SSLを使用する理由

インターネット上の全WebサイトがHTTPSを介して提供されるべきです。その理由:

-パフォーマンス:最新のSSLは実際にページ読み込み時間が短縮できます。

  • 検索ランキングの上昇:検索エンジンでは、HTTPSのWebサイトの方が優先されます。
  • セキュリティ:SSLでトラフィックを暗号化すると、ユーザーのデータがのぞき見されることがありません。
  • 信頼:SSLを使用すると、ブラウザのアドレスバーに緑色のロックが表示され、訪問者からの信頼が高まります。
  • 法令遵守:SSLはPCI準拠で、重要な要素となっています。

簡単なSSL設定

手動でSSLを設定する場合は、いくつかの手順が必要です。また、設定を誤ると、ユーザーがWebサイトにアクセスできなくなる可能性があります。CloudflareはボタンをクリックするだけであらゆるインターネットプロパティをHTTPS対応にします。Cloudflare SSLを利用しているときは、SSL証明書の有効期限切れを心配する必要はありません。最新のSSL脆弱性についても最新情報が維持されます。

SSLの手動設定

manually-configuring-ssl

CloudflareでのSSL設定

configuring-ssl-with-cloudflare

SSLパフォーマンス

HTTPSは進化しています。 従来と比べてより多くのWebサイトで使用され、速度は増し、安全性は向上しています。 SSLにより、既存のコードベースを変更せずにWebサイトを最大2倍高速化できるHTTP/2が有効になります。 最新のTLSには、セッション再開、OCSP Stapling、小さめのキーを使用する楕円曲線暗号(より高速なハンドシェイクが可能)などのパフォーマンス重視の機能も含まれています。 TLS 1.3では、レイテンシーはさらに短縮され、安全性の低いTLSの機能は削除されているため、以前のバージョンのTLSと無保護のHTTPと比較すると、HTTPSの安全性とパフォーマンスは向上しています。

Cloudflareは、OpenSSLのパフォーマンス向上にも取り組んでいます。 AES-128-GCMより3倍速い暗号スイートのChaCha20-Poly1305を、Cloudflareはモバイルデバイスに実装しました。 Cloudflareはパフォーマンスを重視しています。

CloudflareのSSL設定

動作モード

CloudflareのSSLは、必要なセキュリティレベルと希望する設定内容に応じて、さまざまなモードで動作します。エンドユーザーへのトラフィックは常に暗号化されます。つまり、Webサイトは常にHTTPSのメリットを利用できるということです。しかし、Cloudflareと配信元サーバーとの間はさまざまな方法で設定できます。

Flexible SSL

Flexible SSLはCloudflareからWebサイトのエンドユーザーへのトラフィックを暗号化しますが、Cloudflareから配信元サーバーへのトラフィックは暗号化しません。配信元にSSL証明書をインストールする必要がないため、これはHTTPSを有効にする最も簡単な方法です。Flexible SSLは、他のオプションほど安全性は高くありませんが、公共のWiFiでののぞき見やHTTP経由の広告インジェクションなど、最大級の脅威から訪問者を保護します。

flexible-ssl

Full SSL

Full SSLモードでは、エンドユーザーからCloudflare、およびCloudflareから配信元サーバーまでを暗号化します。この方法では、配信元サーバー上にSSL証明書が必要です。Full SSLモードでは、サーバーに証明書をインストールするために次の3つのオプションがあります。認証機関発行の証明書(Strict)、Cloudflare発行の証明書(Origin CA)、自己署名証明書です。Cloudflare Origin CAで取得する証明書を使用をおすすめします。

full-ssl-strict

Origin CA

Origin CA Origin CAでは認証機関発行の証明書の代わりに、Cloudflare発行のSSL証明書を使用します。この方法では、配信元サーバー上でのSSL設定に関する煩わしさを軽減しながら、配信元からCloudflareへのトラフィックを保護します。認証機関で署名付き証明書を発行してもらう代わりに、Cloudflareのダッシュボードで直接、署名付き証明書を作成できます。

高度な設定オプション

カスタム証明書

Cloudflareは複数の顧客ドメインに共有されるSSL証明書を自動的にプロビジョニングします。BusinessプランとEnterpriseプランのお客様には、エンドユーザーに提示されるカスタムのDedicated SSL Certificatesをアップロードするオプションがあります。このオプションを利用することで、拡張検証(EV)証明書と組織検証(OV)証明書を利用できるようになります。

最新のTLSのみ

PCI 3.2に準拠するには、TLS 1.2または1.3が必要です。これより以前のTLSとSSLバージョンのどちらでも、既知の脆弱性があります。Cloudflareは、WebサイトからのHTTPSトラフィックのすべてを強制的にTLS 1.2または1.3経由にする「Modern TLS Only」オプションが用意されています。

##日和見暗号化 日和見暗号化では、混合コンテンツやその他のレガシー問題が原因で、HTTPSにアップグレードできないものにHTTP専用ドメインを提供します。暗号化とWeb最適化機能のメリットは、TLSを使用する場合にのみ1行のコードも変更することなく利用できます。

##TLSクライアント認証 Cloudflareの相互認証(TLSクライアント認証)によって、IoTデバイスやモバイルアプリなどのクライアントとその配信元との間には安全な接続が構築されます。クライアントが配信元サーバーとの接続を確立しようとすると、Cloudflareはデバイスの証明書を検証して、エンドポイントへのアクセスが許可されていることを確認します。たとえば、建物に入るために正しいキーが必要であるのと同じで、デバイスに有効なクライアント証明書がある場合には安全な接続を確立できます。デバイスの証明書がない場合や期限切れの場合、無効な場合は接続は取り消され、Cloudflareは403エラーを返します。

HSTS

HTTP Strict Transport Security(HSTS)プロトコルのサポートは、Webサイト、API、モバイルアプリケーションのセキュリティを強化する最も簡単な方法の1つです。HSTSは、配信元サーバーへのすべてのリクエストに対してクライアントに安全な接続の使用を促すHTTPプロトコルの拡張機能です。Cloudflareでは、ボタンを1つクリックすればHSTSサポートが提供されます。

Automatic HTTPS Rewrites

Automatic HTTPS Rewritesは、安全性の低いURLを、既知の(安全な)ホストから安全性の高いものへと動的に書き換えることで、混合コンテンツの問題を安全に解消し、パフォーマンスとセキュリティを強化します。Automatic HTTPS Rewritesによって安全な接続が適用されることで、HTTPSで提供される最新のセキュリティ基準、最新のWeb最適化機能を活用できるようになります。

暗号化サーバーネームインディケーター(SNI)

暗号化SNIは、TLSネゴシエーション中にClientHelloのメッセージで使用されるプレーンテキストの[server_name] 拡張子を[encrypted_server_name]に置き換えます。この機能はTLS 1.3の機能拡張であり、訪問者とWebサイトの仲介者から宛先ホスト名を隠すことによってユーザーのプライバシーを強化します。

Geo Key Manager

Geo Key Managerでは、HTTPS接続を確立するために、プライベートキーにアクセスするCloudflareデータセンターを選択できます。Cloudflareには、米国またはEUのデータセンター、およびCloudflareネットワークで最もセキュリティが高いデータセンターから選択できるオプションがあります。プライベートキーにアクセスできないデータセンターではTLSを終了することはできますが、プライベートキーを保存している最寄りのCloudflareデータセンターに通信する際には、わずかな初期遅延が発生します。

Dedicated SSL Certificates

Dedicated SSL Certificatesは、Cloudflareのグローバルコンテンツ配信ネットワークを経由して、高度な暗号化、互換性、超高速パフォーマンスを提供します。Cloudflareのダッシュボード上では、数回クリックするだけで、簡単かつ迅速に新しい証明書を発行でき、プライベートキーの作成なども安全に行います。Dedicated SSL Certificatesは、すべてのCloudflare料金プランで購入できます。詳細

TLS脆弱性への大規模な対応

Cloudflareのエンジニアは、何十億ものSSLリクエストを毎日処理しています。新たなセキュリティの脆弱性が発見された場合には、迅速な対応が必要です。多くの脆弱性は、Cloudflareの厳しいセキュリティ基準によりユーザーには影響を及ぼしません。以下に暗号化を解読する方法をいくつか紹介します。

Padding OraclesとCBC暗号スイートの拒否

2016年の初めに、わずか6か月でAEAD暗号のWebクライアントのサポートが50%未満から70%超に増加したことがわかりました。暗号ブロックチェーンが完全に安全であると見なされなくなった理由をお読みください。続きを読む

Logjam:最新のTLSの脆弱性についての説明

Cloudflareのお客様は、Logjamの脆弱性の影響を受けませんでしたが、Logjamの仕組みを詳しく紹介する記事を掲載しています。続きを読む

独自の公開鍵インフラストラクチャの構築

Cloudflareは、独自の内部認証機関を使用して、データセンター間のすべてのトラフィックを暗号化します。当社では独自のオープンソースPKIツールキットを構築し、これを実現しました。続きを読む

Roughtime プロトコルサポート

認証済みタイムスタンプサービスを使用してTLS証明書エラーを減らすことにより、Webの安全性を高めます。続きを読む

Cloudflareの設定は簡単です

ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利使っただけます。コード変更は必要はありません。

Cloudflareの料金設定

Cloudflareを利用することで、どなたのインターネットアプリケーションでもメリットを受けることができます。
ニーズに合ったプランをお選びください。

無料 $ 0 /月 /Webサイト
展開してさらに表示 非表示
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

詳細

Freeプランには次の機能がすべて含まれます。
  • 定額制のDDoS対策
  • グローバルなCDN
  • 共有SSL証明書
  • アカウント監査ログへのアクセス
  • 3つのPage Rule
すべての機能を比較
Pro $ 20 /月 /Webサイト
展開してさらに表示 非表示
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

詳細

ProプランにはFreeプランの全機能のほか、次の機能が含まれます。
  • Cloudflareルールセットに基づくWebアプリケーションファイアウォール(WAF)
  • Polish™による画像最適化
  • Mirage™によるモバイル最適化
  • I'm Under Attack™モード
  • アカウント監査ログへのアクセス
  • 20のPage Rule
すべての機能を比較
ビジネス $ 200 /月 Webサイト
展開してさらに表示 非表示
高度なセキュリティやパフォーマンス、PCI準拠、優先メールサポートを必要とする小規模な電子商取引Webサイトや企業向け。

詳細

Businessプランには、Proプランの全機能のほか、次の機能が含まれます。
  • 25のカスタムルールセットに基づくWebアプリケーションファイアウォールf(WAF)
  • カスタムSSL証明書のアップロード
  • Modern TLS OnlyモードとWAFによるPCI準拠
  • Bypass Cache on Cookie
  • Railgun™による動的コンテンツの配信の高速化
  • 優先メールサポート
  • アカウント監査ログへのアクセス
  • 50のPage Rule
すべての機能を比較
エンタープライズプラン 問い合わせ
展開してさらに表示 非表示
エンタープライズクラスのセキュリティとパフォーマンス、1日24時間365日の優先電話、メール、チャットサポート、稼働率の保証を必要とする企業向け。

詳細

Enterpriseプランには、Businessプランの全機能のほか、次の機能が含まれます。
  • 電話、メール、チャットによる1日24時間365日のエンタープライズクラスのサポート
  • 稼働率100%保証と25倍の払い戻しを定めたSLA
  • ネットワークの優先順位付けによるエンタープライズクラスのDDoS対策
  • 無制限のカスタムルールセットに基づく高度なWebアプリケーションファイアウォール(WAF)
  • マルチユーザーによるロールベースのアカウントアクセス
  • 複数のカスタムSSL証明書のアップロード
  • 未加工ログへのアクセス
  • アカウント監査ログへのアクセス
  • 専任のソリューションおよびカスタマーサクセスエンジニア
  • 中国のCDNデータセンターへのアクセス(有料)
  • 100のPage Rule
すべての機能を比較

無料

$ 0 /
 
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

Pro

$ 20 /
ドメインあたり
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

Business

$ 200 /
ドメインあたり
高度なセキュリティやパフォーマンス、PCI準拠、優先メールサポートを必要とする小規模な電子商取引Webサイトや企業向け。

Enterprise

お問い合わせ
 
エンタープライズクラスのセキュリティとパフォーマンス、24時間365日の優先電話、メール、チャットサポート、稼働率の保証を必要とする企業向け。

Trusted by over 25 million Internet properties

2500万以上のインターネットプロパティ

trustedby crunchbase black
trustedby ao com black
trustedby zendesk black
logo sofi gray 32px wrapper
trustedby log me in black
trustedby digital ocean black
trustedby okcupid black
trustedby montecito black
trustedby discord black
trustedby library of congress black
trustedby udacity black
trustedby marketo black

技術的な詳細

CloudflareのSSL無料ユーザーに最低限必要なブラウザーバージョン:

デスクトップブラウザー

  • Firefox 2
  • Windows Vista上で Internet Explorer 7
  • Windows Vista または OS X 10.6 と:
    • Chrome 5.0.342.0
    • Opera 14
    • Safari 4

モバイルブラウザー

    • Mobile Safari on iOS 4.0
  • Android 4.0 (Ice Cream Sandwich)
  • Windows Phone 7

注:

上に記載されているオペレーティングシステムは、最低限必要とされるバージョンです。Windows XP SP2やAndroid 3.0以前などの古いブラウザとの互換性が必要な場合は、Proプラン、Businessプラン、またはEnterpriseプランでSSLを使用してください。不明な点やご質問は、当社のFAQ(よくある質問)をご覧ください。