CloudflareのワンクリックSSL

449,281,633,098

前日中に配信された暗号化リクエスト

できるだけ多くのWebトラフィックを暗号化してデータの盗難や改ざんを防ぐことは、より安全で優れたインターネットを構築するための重要なステップです。SSL保護を無料で提供する、初のインターネットパフォーマンスおよびセキュリティ企業になれたことを、Cloudflareは誇りに思っています。

SSLとは

SSL(Secure Socket Layer)は、Webサーバーとブラウザー間の通信データを暗号化する標準的なセキュリティ技術です。通信が安全に行われることにより、転送されるすべてのデータをプライベートに保つことができます。SSLは、TLS(Transport Layer Security)とも呼ばれます。顧客のデータをのぞき見や改ざんから保護するために、多くのWebサイトがSSL暗号化を日常的に使用して安全な通信を確保しています。

SSLを使用する理由

インターネット上のすべてのWebサイトは、HTTPS経由で配信される必要があります。理由は次のとおりです。

  • パフォーマンス:最新のSSLによりページ読み込み時間は向上します。
  • 検索ランキングの上昇:検索エンジンでは、HTTPS Webサイトが優先されます。
  • セキュリティ:SSLでトラフィックを暗号化することで、ユーザーのデータがのぞき見されることはありません。
  • 信頼:SSLを使用するとブラウザーのアドレスバーに緑色のロックが表示され、訪問者からの信頼が高まります。
  • 企業コンプライアンス:SSLは、PCI準拠の重要な要素です。

簡単なSSL設定

手動でSSLを設定する場合は、いくつかの手順が必要です。また、設定を誤ると、ユーザーがWebサイトにアクセスできなくなる可能性があります。CloudflareはボタンをクリックするだけであらゆるインターネットプロパティをHTTPS対応にします。CloudflareのSSLを使用すれば、SSL証明書の有効期限や最新のSSL脆弱性を心配する必要はありません。

手動によるSSL設定

SSL configuration Cloudflare

CloudflareのSSL設定

Cloudflare SSL configuration

SSLパフォーマンス

HTTPSは進化しています。従来と比べてより多くのWebサイトで使用され、速度は増し、安全性は向上しています。SSLにより、既存のコードベースを変更せずにWebサイトを最大2倍高速化できるHTTP/2が有効になります。最新のTLSには、セッション再開、OCSP Stapling、小さめのキーを使用する楕円曲線暗号(より高速なハンドシェイクが可能)などのパフォーマンス重視の機能も含まれています。TLS 1.3では、レイテンシーはさらに短縮され、安全性の低いTLSの機能は削除されているため、以前のバージョンのTLSと無保護のHTTPと比較すると、HTTPSの安全性とパフォーマンスは向上しています。

Cloudflareは、OpenSSLのパフォーマンス向上にも取り組んでいます。AES-128-GCMより3倍速い暗号スイートのChaCha20-Poly1305を、Cloudflareはモバイルデバイスに実装しました。Cloudflareはパフォーマンスを重視しています。

CloudflareのSSL設定

動作モード

CloudflareのSSLは、必要なセキュリティレベルと希望する設定内容に応じて、さまざまなモードで動作します。エンドユーザーへのトラフィックは常に暗号化されます。つまり、Webサイトは常にHTTPSのメリットを利用できます。ただし、Cloudflareと配信元サーバー間のトラフィックは、さまざまな方法で設定できます。

Flexible SSL

Flexible SSLは、CloudflareからWebサイトのエンドユーザーまでのトラフィックを暗号化しますが、Cloudflareから配信元サーバーへのトラフィックは暗号化しません。配信元にSSL証明書をインストールする必要がないため、これはHTTPSを有効にする最も簡単な方法です。Flexible SSLは、他のオプションほど安全性は高くありませんが、公共のWiFiでののぞき見やHTTP経由の広告インジェクションなど、最大級の脅威から訪問者を保護します。

Flexible SSL

Full SSL

Full SSLモードでは、エンドユーザーからCloudflare、およびCloudflareから配信元サーバーまでを暗号化します。この方法では、配信元サーバー上にSSL証明書が必要です。Full SSLモードでは、サーバーに証明書をインストールするための次の3つのオプションがあります。認証機関発行の証明書(Strict)、Cloudflare発行の証明書(Origin CA)、自己署名証明書。Cloudflare Origin CAで取得する証明書の使用をおすすめします。

Strict SSL

Origin CA

Origin CAでは認証機関発行の証明書の代わりに、Cloudflare発行のSSL証明書を使用します。この方法では、配信元サーバーでSSLを構成する際の多くの行き違いを軽減しながら、送信元からCloudflareへのトラフィックを保護します。証明書に認証機関の署名を得る代わりに、Cloudflareのダッシュボードで直接署名付き証明書を作成できます。

Origin CA

高度な設定オプション

カスタム証明書

Cloudflareは複数の顧客ドメインに共有されるSSL証明書を自動的にプロビジョニングします。BusinessおよびEnterpriseのお客様には、エンドユーザーに提示されるカスタムの専用SSL証明書をアップロードするオプションがあります。これにより、Extended Validation(EV)証明書およびOrganization Validated(OV)証明書の使用が可能になります。

HSTS

HTTP Strict Transport Security(HSTS)プロトコルの対応は、Webサイト、API、モバイルアプリケーションのセキュリティを強化する最も簡単な方法です。HSTSは、配信元サーバーへのすべてのリクエストに対してクライアントの安全な接続の使用を促すHTTPプロトコルの拡張機能です。Cloudflareでは、ボタンをクリックするだけでHSTSに対応できます。

Modern TLS Only

TLSおよびSSLの過去のすべてのバージョンには既知の脆弱性が存在するため、PCI 3.2準拠にはTLS 1.2または1.3が必要です。Cloudflareは、WebサイトからのすべてのHTTPSトラフィックをTLS 1.2または1.3経由で配信する「Modern TLS Only」オプションを提供します。

Automatic HTTPS Rewrites

Automatic HTTPS Rewritesは、既知の(安全な)ホストから安全性の低いURLを安全なURLに動的に書き換えることで、混合コンテンツの問題を安全に排除し、パフォーマンスとセキュリティを強化します。安全な接続を実行することで、Automatic HTTPS Rewritesにより、HTTPS経由でのみ利用可能な最新のセキュリティ標準とWeb最適化機能を利用できるようになります。

日和見暗号化

日和見暗号化では、混合コンテンツやその他のレガシー問題のために、HTTPSにアップグレードできないものにHTTP専用ドメインを提供します。暗号化とWeb最適化機能のメリットは、TLSを使用する場合にのみ1行のコードも変更することなく利用できます。

TLSクライアント認証

CloudflareのMutual Auth(TLSクライアント認証)は、IoTデバイスやモバイルアプリなどを使用するクライアントとその配信元との間を安全に接続します。クライアントが配信元サーバーとの接続を確立しようとすると、Cloudflareはデバイスの証明書を検証して、エンドポイントへのアクセスが許可されていることを確認します。建物に入るために正しいキーが必要であるのと同様に、デバイスに有効なクライアント証明書がある場合に安全な接続を確立できます。デバイスの証明書がない場合、期限切れの場合、無効な場合は接続は取り消され、Cloudflareは403エラーを返します。

Geo Key Manager

Geo Key Managerでは、HTTPS接続を確立するために、どのCloudflareのデータセンターがプライベートキーにアクセスするかを選択できます。Cloudflareには、米国またはEUのデータセンター、およびCloudflareネットワークの最高のセキュリティデータセンターから選択できるオプションがあります。プライベートキーにアクセスできないデータセンターではTLSを終了することはできますが、プライベートキーを格納している最寄りのCloudflareデータセンターに通信する際には、わずかな初期遅延が発生します。

専用SSL証明書

専用SSL証明書は、Cloudflareのグローバルコンテンツ配信ネットワークを経由して、高度な暗号化、互換性、超高速パフォーマンスを提供します。Cloudflareのダッシュボードで数回クリックするだけで、簡単かつ迅速に新しい証明書を発行でき、プライベートキーの作成なども安全に行います。専用SSL証明書は、すべてのCloudflare料金プランで購入できます。 詳細

TLS脆弱性への大規模な対応

Cloudflareのエンジニアは、何十億ものSSLリクエストを毎日処理しています。新たなセキュリティの脆弱性が発見された場合には、迅速な対応が必要です。多くの脆弱性は、Cloudflareの厳しいセキュリティ基準によりユーザーには影響を及ぼしません。以下に暗号化を解読する方法をいくつか紹介します。

Padding OraclesとCBC暗号スイートの拒否

2016年の初めに、わずか6か月でAEAD暗号のWebクライアントのサポートが50%未満から70%超に増加したことがわかりました。暗号ブロック連鎖が完全に安全であるとは考えられなくなった理由をご確認ください。

続きを読む

Logjam:最新のTLSの脆弱性について

Cloudflareのお客様は、Logjamの脆弱性の影響を受けませんでした。Logjamの仕組みを詳しく紹介する記事を掲載しています。

続きを読む

独自のパブリックキーインフラストラクチャの構築

Cloudflareは、独自の内部認証機関を使用して、データセンター間のすべてのトラフィックを暗号化します。Cloudflareは、独自のオープンソースPKIツールキットを構築しています。

続きを読む

Cloudflareの設定は簡単です

ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。

Cloudflareの価格設定

Cloudflareは、あらゆるインターネットアプリケーションにメリットをもたらします。
ニーズに合ったプランをお選びください。

無料 $ 0 /月, Webサイトあたり
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

詳細

無料プランには次の機能がすべて含まれます。
  • 定額制のDDoS攻撃軽減サービス
  • グローバルCDN
  • 共有SSL証明書
  • アカウント監査ログへのアクセス
  • 3つのPage Rule
すべての機能を比較
Pro $ 20 /月 Webサイトあたり
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

詳細

Proプランには無料プランの全機能のほか、次の機能が含まれます。
  • Cloudflareルールセットを使ったWebアプリケーションファイアウォール(WAF)
  • Polish™を使った画像最適化
  • Mirage™を使ったモバイル最適化
  • I'm Under Attack™モード
  • アカウント監査ログへのアクセス
  • 20のPage Rule
すべての機能を比較
Business $ 200 /月 Webサイトあたり
高度なセキュリティおよびパフォーマンス、PCI準拠、優先メールサポートが必要な小規模なeコマースWebサイトや企業向け。

詳細

Businessプランには、Proプランの全機能のほか、次の機能が含まれます。
  • 25のカスタムルールセットを使ったWebアプリケーションファイアウォール(WAF)
  • カスタムSSL証明書のアップロード
  • Modern TLS OnlyモードとWAFによるPCI準拠
  • Bypass Cache on Cookie
  • Railgun™により、動的コンテンツの配信を高速化
  • 優先メールサポート
  • アカウント監査ログへのアクセス
  • 50のPage Rule
すべての機能を比較
Enterprise お問い合わせ
エンタープライズクラスのセキュリティとパフォーマンス、24時間365日の優先電話、メール、チャットサポート、稼働の保証が必要な企業向け。

詳細

Enterpriseプランには、Businessプランの全機能のほか、次の機能が含まれます。
  • 電話、メール、チャットによる24時間365日のエンタープライズクラスのサポート
  • 稼働率100%保証と25倍の払い戻しを定めたSLA
  • ネットワークの優先順位付けによるエンタープライズクラスのDDoS攻撃対策
  • 無制限のカスタムルールセットを使った高度なWebアプリケーションファイアウォール(WAF)
  • マルチユーザーによるロールベースのアカウントアクセス
  • 複数のカスタムSSL証明書のアップロード
  • 未加工ログへのアクセス
  • アカウント監査ログへのアクセス
  • 専任のソリューションおよびカスタマーサクセスエンジニア
  • 中国のCDNデータセンターへのアクセス(有料)
  • 100のPage Rule
すべての機能を比較

無料

$ 0 /
 
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

Pro

$ 20 /
ドメインあたり
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

Business

$ 200 /
ドメインあたり
高度なセキュリティやパフォーマンス、PCI準拠、優先メールサポートを必要とする小規模な電子商取引Webサイトや企業向け。

Enterprise

お問い合わせ
 
エンタープライズクラスのセキュリティとパフォーマンス、24時間365日の優先電話、メール、チャットサポート稼働の保証が必要な企業向け。

Cloudflareのお客様

10,000,000を超えるインターネットアプリケーションとAPI

技術的な詳細

CloudflareのSSL無料ユーザーに最低限必要なブラウザーバージョン:

  • Firefox 2
  • Windows VistaのInternet Explorer 7
  • 以下のWindows VistaまたはOS X 10.6:
    • Chrome 5.0.342.0
    • Opera 14
    • Safari 4

モバイルブラウザー

  • iOS 4.0のMobile Safari
  • Android 4.0(Ice Cream Sandwich)
  • Windows Phone 7

:上に記載されているオペレーティングシステムは、最低限必要とされるバージョンです。Windows XP SP2やAndroid<3.0などの古いブラウザーとの互換性が必要な場合は、Pro、Business、EnterpriseのいずれかのプランでSSLをご利用ください。不明な点については、よくある質問をご覧ください。