Keyless SSLで、オンプレミスでプライベートキーを保持しながら、CloudflareのSSLサービスを利用できるようになります。 これは、Cloudflareのクリプトグラファーやシステムエンジニア、ネットワークスペシャリストが開発した、まったく新しいセキュリティテクノロジーです。
標準のCloudflare SSLサービスでは、お客様がご自身のサイトでCloudflareとSSLキーを共有する必要があります。 Cloudflareはさまざまな対策を駆使してお客様の重要な情報を保護します。 ただし、お客様によってはポリシーや技術的な障害があるためにCloudflareとのサイトのSSLキーの共有を行えない場合もあります。 このような場合に役立つのが、今回ご紹介するKeyless SSLです。
すでにCloudflareのお客様ですか?ログイン
Cloudflareにプライベートキーの管理を気楽に任せてくださるお客様がいらっしゃる一方で、独自のセキュリティ要件を持つお客様の場合にはそれが不可能な場合があります。 Keyless SSLを利用することで、キーの管理はユーザーが行いながら、暗号化されたトラフィックのルーティングにはCloudflareのグローバルネットワークを利用することが可能となります。
Keyless SSLによって、永久的に拡張可能で柔軟なCloudflareのようなソリューションを、これまでになかったSSLキーを共有しない形で初めて利用することができるようになるのです。 企業は、Webトラフィックを暗号化するか、SSLプライベートキーをサードパーティのクラウドプロバイダーに提供するかのどちらを選択することなく、クラウドのメリット(DDoS攻撃の軽減、負荷分散、WAN Optimization)のすべてを得ることができます。
注:Keyless SSLを使用するには、Cloudflareがトラフィックを復号化、検査、再暗号化してお客様の配信元に送信する必要があります。
Cloudflareを介した非SSLトラフィックには、クライアント(Webブラウザーなど)、Cloudflareエッジノード、お客様の配信元サーバーの三者が関わります。
Keyless SSLによるSSLトラフィックを有効にする場合、初回のSSLセッションの作成にもう一つエンドポイントが関与しますが、その後は通常の転送が再開します。
Keyless SSLトランザクションのリクエストフローは次の通りです:
1a.クライアント(例:ウェブブラウザ)が、お客様に最も近いCloudflareエッジノードにエニーキャストルーティングで接続する。そのクライアントがエッジサーバーに、サイトの公開鍵で暗号化された秘密を送信する。
1b.エッジサーバーがキーサーバーにコンタクトし、自身を証明書で認証する。エッジサーバーが暗号化された秘密をキーサーバーに送信して復号化する。キーサーバーが、復号化された秘密を暗号トンネルを経由して返送する。
2a.クライアントとサーバーの両方が共有の秘密を使用してセキュアな接続を確立する。クライアント(例:ウェブブラウザ)がHTTPS経由で、Cloudflareで稼働するお客様リソースを要求するリクエストを生成する。
2b.Cloudflareのエッジノード(セッションサーバー)が、元のリクエストを復号化、検査、処理する。Keyless SSLの詳細については、このブログ記事をご覧ください。
ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。