できるだけ多くのWebトラフィックを暗号化してデータの盗難や改ざんを防ぐことは、より安全で優れたインターネットを構築するための重要なステップです。SSL保護を無料で提供する、初のインターネットパフォーマンスおよびセキュリティ企業になれたことを、Cloudflareは誇りに思っています。
SSL(Secure Socket Layer)は、Webサーバーとブラウザ間の通信データを暗号化する標準的なセキュリティ技術です。通信が安全に行われることにより、転送されるすべてのデータをプライベートに保つことができます。SSLは、TLS(Transport Layer Security)とも呼ばれます。何百万ものWebサイトは顧客データをのぞき見や改ざんから保護するために、SSL暗号化を日常的に使用して安全な通信を確保しています。
インターネット上の全WebサイトがHTTPSを介して提供されるべきです。その理由:
-パフォーマンス:最新のSSLは実際にページ読み込み時間が短縮できます。
手動でSSLを設定する場合は、いくつかの手順が必要です。また、設定を誤ると、ユーザーがWebサイトにアクセスできなくなる可能性があります。CloudflareはボタンをクリックするだけであらゆるインターネットプロパティをHTTPS対応にします。Cloudflare SSLを利用しているときは、SSL証明書の有効期限切れを心配する必要はありません。最新のSSL脆弱性についても最新情報が維持されます。
HTTPSは進化しています。 従来と比べてより多くのWebサイトで使用され、速度は増し、安全性は向上しています。 SSLにより、既存のコードベースを変更せずにWebサイトを最大2倍高速化できるHTTP/2が有効になります。 最新のTLSには、セッション再開、OCSP Stapling、小さめのキーを使用する楕円曲線暗号(より高速なハンドシェイクが可能)などのパフォーマンス重視の機能も含まれています。 TLS 1.3では、レイテンシーはさらに短縮され、安全性の低いTLSの機能は削除されているため、以前のバージョンのTLSと無保護のHTTPと比較すると、HTTPSの安全性とパフォーマンスは向上しています。
Cloudflareは、OpenSSLのパフォーマンス向上にも取り組んでいます。 AES-128-GCMより3倍速い暗号スイートのChaCha20-Poly1305を、Cloudflareはモバイルデバイスに実装しました。 Cloudflareはパフォーマンスを重視しています。
CloudflareのSSLは、必要なセキュリティレベルと希望する設定内容に応じて、さまざまなモードで動作します。エンドユーザーへのトラフィックは常に暗号化されます。つまり、Webサイトは常にHTTPSのメリットを利用できるということです。しかし、Cloudflareと配信元サーバーとの間はさまざまな方法で設定できます。
Flexible SSLはCloudflareからWebサイトのエンドユーザーへのトラフィックを暗号化しますが、Cloudflareから配信元サーバーへのトラフィックは暗号化しません。配信元にSSL証明書をインストールする必要がないため、これはHTTPSを有効にする最も簡単な方法です。Flexible SSLは、他のオプションほど安全性は高くありませんが、公共のWiFiでののぞき見やHTTP経由の広告インジェクションなど、最大級の脅威から訪問者を保護します。
Full SSLモードでは、エンドユーザーからCloudflare、およびCloudflareから配信元サーバーまでを暗号化します。この方法では、配信元サーバー上にSSL証明書が必要です。Full SSLモードでは、サーバーに証明書をインストールするために次の3つのオプションがあります。認証機関発行の証明書(Strict)、Cloudflare発行の証明書(Origin CA)、自己署名証明書です。Cloudflare Origin CAで取得する証明書を使用をおすすめします。
Origin CA Origin CAでは認証機関発行の証明書の代わりに、Cloudflare発行のSSL証明書を使用します。この方法では、配信元サーバー上でのSSL設定に関する煩わしさを軽減しながら、配信元からCloudflareへのトラフィックを保護します。認証機関で署名付き証明書を発行してもらう代わりに、Cloudflareのダッシュボードで直接、署名付き証明書を作成できます。
Cloudflareは複数の顧客ドメインに共有されるSSL証明書を自動的にプロビジョニングします。BusinessプランとEnterpriseプランのお客様には、エンドユーザーに提示されるカスタムのDedicated SSL Certificatesをアップロードするオプションがあります。このオプションを利用することで、拡張検証(EV)証明書と組織検証(OV)証明書を利用できるようになります。
PCI 3.2に準拠するには、TLS 1.2または1.3が必要です。これより以前のTLSとSSLバージョンのどちらでも、既知の脆弱性があります。Cloudflareは、WebサイトからのHTTPSトラフィックのすべてを強制的にTLS 1.2または1.3経由にする「Modern TLS Only」オプションが用意されています。
##日和見暗号化 日和見暗号化では、混合コンテンツやその他のレガシー問題が原因で、HTTPSにアップグレードできないものにHTTP専用ドメインを提供します。暗号化とWeb最適化機能のメリットは、TLSを使用する場合にのみ1行のコードも変更することなく利用できます。
##TLSクライアント認証 Cloudflareの相互認証(TLSクライアント認証)によって、IoTデバイスやモバイルアプリなどのクライアントとその配信元との間には安全な接続が構築されます。クライアントが配信元サーバーとの接続を確立しようとすると、Cloudflareはデバイスの証明書を検証して、エンドポイントへのアクセスが許可されていることを確認します。たとえば、建物に入るために正しいキーが必要であるのと同じで、デバイスに有効なクライアント証明書がある場合には安全な接続を確立できます。デバイスの証明書がない場合や期限切れの場合、無効な場合は接続は取り消され、Cloudflareは403エラーを返します。
HTTP Strict Transport Security(HSTS)プロトコルのサポートは、Webサイト、API、モバイルアプリケーションのセキュリティを強化する最も簡単な方法の1つです。HSTSは、配信元サーバーへのすべてのリクエストに対してクライアントに安全な接続の使用を促すHTTPプロトコルの拡張機能です。Cloudflareでは、ボタンを1つクリックすればHSTSサポートが提供されます。
Automatic HTTPS Rewritesは、安全性の低いURLを、既知の(安全な)ホストから安全性の高いものへと動的に書き換えることで、混合コンテンツの問題を安全に解消し、パフォーマンスとセキュリティを強化します。Automatic HTTPS Rewritesによって安全な接続が適用されることで、HTTPSで提供される最新のセキュリティ基準、最新のWeb最適化機能を活用できるようになります。
暗号化SNIは、TLSネゴシエーション中にClientHelloのメッセージで使用されるプレーンテキストの[server_name] 拡張子を[encrypted_server_name]に置き換えます。この機能はTLS 1.3の機能拡張であり、訪問者とWebサイトの仲介者から宛先ホスト名を隠すことによってユーザーのプライバシーを強化します。
Geo Key Managerでは、HTTPS接続を確立するために、プライベートキーにアクセスするCloudflareデータセンターを選択できます。Cloudflareには、米国またはEUのデータセンター、およびCloudflareネットワークで最もセキュリティが高いデータセンターから選択できるオプションがあります。プライベートキーにアクセスできないデータセンターではTLSを終了することはできますが、プライベートキーを保存している最寄りのCloudflareデータセンターに通信する際には、わずかな初期遅延が発生します。
Dedicated SSL Certificatesは、Cloudflareのグローバルコンテンツ配信ネットワークを経由して、高度な暗号化、互換性、超高速パフォーマンスを提供します。Cloudflareのダッシュボード上では、数回クリックするだけで、簡単かつ迅速に新しい証明書を発行でき、プライベートキーの作成なども安全に行います。Dedicated SSL Certificatesは、すべてのCloudflare料金プランで購入できます。詳細
Cloudflareのエンジニアは、何十億ものSSLリクエストを毎日処理しています。新たなセキュリティの脆弱性が発見された場合には、迅速な対応が必要です。多くの脆弱性は、Cloudflareの厳しいセキュリティ基準によりユーザーには影響を及ぼしません。以下に暗号化を解読する方法をいくつか紹介します。
ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利使っただけます。コード変更は必要はありません。
Cloudflareを利用することで、どなたのインターネットアプリケーションでもメリットを受けることができます。
ニーズに合ったプランをお選びください。
CloudflareのSSL無料ユーザーに最低限必要なブラウザーバージョン:
上に記載されているオペレーティングシステムは、最低限必要とされるバージョンです。Windows XP SP2やAndroid 3.0以前などの古いブラウザとの互換性が必要な場合は、Proプラン、Businessプラン、またはEnterpriseプランでSSLを使用してください。不明な点やご質問は、当社のFAQ(よくある質問)をご覧ください。