CloudflareのワンクリックSSL
449281633098
前日中に配信された暗号化リクエスト
できるだけ多くのWebトラフィックを暗号化してデータの盗難や改ざんを防ぐことは、より安全で優れたインターネットを構築するための重要なステップです。SSL保護を無料で提供する、初のインターネットパフォーマンスおよびセキュリティ企業になれたことを、Cloudflareは誇りに思っています。
SSLとは
SSL(Secure Socket Layer)は、Webサーバーとブラウザー間の通信データを暗号化する標準的なセキュリティ技術です。通信が安全に行われることにより、転送されるすべてのデータをプライベートに保つことができます。SSLは、TLS(Transport Layer Security)とも呼ばれます。顧客のデータをのぞき見や改ざんから保護するために、多くのWebサイトがSSL暗号化を日常的に使用して安全な通信を確保しています。
SSLを使用する理由
インターネット上のすべてのWebサイトは、HTTPS経由で配信される必要があります。理由は次のとおりです。
- パフォーマンス:最新のSSLによりページ読み込み時間は向上します。
- 検索ランキングの上昇:検索エンジンでは、HTTPS Webサイトが優先されます。
- セキュリティ:SSLでトラフィックを暗号化することで、ユーザーのデータがのぞき見されることはありません。
- 信頼:SSLを使用するとブラウザーのアドレスバーに緑色のロックが表示され、訪問者からの信頼が高まります。
- 企業コンプライアンス:SSLは、PCI準拠の重要な要素です。
簡単なSSL設定
手動でSSLを設定する場合は、いくつかの手順が必要です。また、設定を誤ると、ユーザーがWebサイトにアクセスできなくなる可能性があります。CloudflareはボタンをクリックするだけであらゆるインターネットプロパティをHTTPS対応にします。CloudflareのSSLを使用すれば、SSL証明書の有効期限や最新のSSL脆弱性を心配する必要はありません。
手動によるSSL設定
CloudflareのSSL設定
SSLパフォーマンス
HTTPSは進化しています。従来と比べてより多くのWebサイトで使用され、速度は増し、安全性は向上しています。SSLにより、既存のコードベースを変更せずにWebサイトを最大2倍高速化できるHTTP/2が有効になります。最新のTLSには、セッション再開、OCSP Stapling、小さめのキーを使用する楕円曲線暗号(より高速なハンドシェイクが可能)などのパフォーマンス重視の機能も含まれています。TLS 1.3では、レイテンシーはさらに短縮され、安全性の低いTLSの機能は削除されているため、以前のバージョンのTLSと無保護のHTTPと比較すると、HTTPSの安全性とパフォーマンスは向上しています。
Cloudflareは、OpenSSLのパフォーマンス向上にも取り組んでいます。AES-128-GCMより3倍速い暗号スイートのChaCha20-Poly1305を、Cloudflareはモバイルデバイスに実装しました。Cloudflareはパフォーマンスを重視しています。
CloudflareのSSL設定
動作モード
CloudflareのSSLは、必要なセキュリティレベルと希望する設定内容に応じて、さまざまなモードで動作します。エンドユーザーへのトラフィックは常に暗号化されます。つまり、Webサイトは常にHTTPSのメリットを利用できます。ただし、Cloudflareと配信元サーバー間のトラフィックは、さまざまな方法で設定できます。
Flexible SSL
Flexible SSLは、CloudflareからWebサイトのエンドユーザーまでのトラフィックを暗号化しますが、Cloudflareから配信元サーバーへのトラフィックは暗号化しません。配信元にSSL証明書をインストールする必要がないため、これはHTTPSを有効にする最も簡単な方法です。Flexible SSLは、他のオプションほど安全性は高くありませんが、公共のWiFiでののぞき見やHTTP経由の広告インジェクションなど、最大級の脅威から訪問者を保護します。
Full SSL
Full SSLモードでは、エンドユーザーからCloudflare、およびCloudflareから配信元サーバーまでを暗号化します。この方法では、配信元サーバー上にSSL証明書が必要です。Full SSLモードでは、サーバーに証明書をインストールするための次の3つのオプションがあります。認証機関発行の証明書(Strict)、Cloudflare発行の証明書(Origin CA)、自己署名証明書。Cloudflare Origin CAで取得する証明書の使用をおすすめします。
Origin CA
Origin CAでは認証機関発行の証明書の代わりに、Cloudflare発行のSSL証明書を使用します。この方法では、配信元サーバーでSSLを構成する際の多くの行き違いを軽減しながら、送信元からCloudflareへのトラフィックを保護します。証明書に認証機関の署名を得る代わりに、Cloudflareのダッシュボードで直接署名付き証明書を作成できます。
高度な設定オプション
カスタム証明書
Cloudflareは複数の顧客ドメインに共有されるSSL証明書を自動的にプロビジョニングします。BusinessおよびEnterpriseのお客様には、エンドユーザーに提示されるカスタムの専用SSL証明書をアップロードするオプションがあります。これにより、Extended Validation(EV)証明書およびOrganization Validated(OV)証明書の使用が可能になります。
HSTS
HTTP Strict Transport Security(HSTS)プロトコルの対応は、Webサイト、API、モバイルアプリケーションのセキュリティを強化する最も簡単な方法です。HSTSは、配信元サーバーへのすべてのリクエストに対してクライアントの安全な接続の使用を促すHTTPプロトコルの拡張機能です。Cloudflareでは、ボタンをクリックするだけでHSTSに対応できます。
Modern TLS Only
TLSおよびSSLの過去のすべてのバージョンには既知の脆弱性が存在するため、PCI 3.2準拠にはTLS 1.2または1.3が必要です。Cloudflareは、WebサイトからのすべてのHTTPSトラフィックをTLS 1.2または1.3経由で配信する「Modern TLS Only」オプションを提供します。
Automatic HTTPS Rewrites
Automatic HTTPS Rewritesは、既知の(安全な)ホストから安全性の低いURLを安全なURLに動的に書き換えることで、混合コンテンツの問題を安全に排除し、パフォーマンスとセキュリティを強化します。安全な接続を実行することで、Automatic HTTPS Rewritesにより、HTTPS経由でのみ利用可能な最新のセキュリティ標準とWeb最適化機能を利用できるようになります。
日和見暗号化
日和見暗号化では、混合コンテンツやその他のレガシー問題のために、HTTPSにアップグレードできないものにHTTP専用ドメインを提供します。暗号化とWeb最適化機能のメリットは、TLSを使用する場合にのみ1行のコードも変更することなく利用できます。
TLSクライアント認証
CloudflareのMutual Auth(TLSクライアント認証)は、IoTデバイスやモバイルアプリなどを使用するクライアントとその配信元との間を安全に接続します。クライアントが配信元サーバーとの接続を確立しようとすると、Cloudflareはデバイスの証明書を検証して、エンドポイントへのアクセスが許可されていることを確認します。建物に入るために正しいキーが必要であるのと同様に、デバイスに有効なクライアント証明書がある場合に安全な接続を確立できます。デバイスの証明書がない場合、期限切れの場合、無効な場合は接続は取り消され、Cloudflareは403エラーを返します。
Geo Key Manager
Geo Key Managerでは、HTTPS接続を確立するために、どのCloudflareのデータセンターがプライベートキーにアクセスするかを選択できます。Cloudflareには、米国またはEUのデータセンター、およびCloudflareネットワークの最高のセキュリティデータセンターから選択できるオプションがあります。プライベートキーにアクセスできないデータセンターではTLSを終了することはできますが、プライベートキーを格納している最寄りのCloudflareデータセンターに通信する際には、わずかな初期遅延が発生します。
専用SSL証明書
専用SSL証明書は、Cloudflareのグローバルコンテンツ配信ネットワークを経由して、高度な暗号化、互換性、超高速パフォーマンスを提供します。Cloudflareのダッシュボードで数回クリックするだけで、簡単かつ迅速に新しい証明書を発行でき、プライベートキーの作成なども安全に行います。専用SSL証明書は、すべてのCloudflare料金プランで購入できます。 詳細
TLS脆弱性への大規模な対応
Cloudflareのエンジニアは、何十億ものSSLリクエストを毎日処理しています。新たなセキュリティの脆弱性が発見された場合には、迅速な対応が必要です。多くの脆弱性は、Cloudflareの厳しいセキュリティ基準によりユーザーには影響を及ぼしません。以下に暗号化を解読する方法をいくつか紹介します。
Padding OraclesとCBC暗号スイートの拒否
2016年の初めに、わずか6か月でAEAD暗号のWebクライアントのサポートが50%未満から70%超に増加したことがわかりました。暗号ブロック連鎖が完全に安全であるとは考えられなくなった理由をご確認ください。
独自のパブリックキーインフラストラクチャの構築
Cloudflareは、独自の内部認証機関を使用して、データセンター間のすべてのトラフィックを暗号化します。Cloudflareは、独自のオープンソースPKIツールキットを構築しています。
Cloudflareの設定は簡単です
ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。
Cloudflareの価格設定
Cloudflareは、あらゆるインターネットアプリケーションにメリットをもたらします。
ニーズに合ったプランをお選びください。
Business
Cloudflareのお客様
26,000,000を超えるインターネットアプリケーションとAPI
技術的な詳細
CloudflareのSSL無料ユーザーに最低限必要なブラウザーバージョン:
- Firefox 2
- Windows VistaのInternet Explorer 7
- 以下のWindows VistaまたはOS X 10.6:
- Chrome 5.0.342.0
- Opera 14
- Safari 4
モバイルブラウザー
- iOS 4.0のMobile Safari
- Android 4.0(Ice Cream Sandwich)
- Windows Phone 7
注:上に記載されているオペレーティングシステムは、最低限必要とされるバージョンです。Windows XP SP2やAndroid<3.0などの古いブラウザーとの互換性が必要な場合は、Pro、Business、EnterpriseのいずれかのプランでSSLをご利用ください。不明な点については、よくある質問をご覧ください。