Keyless SSLで、オンプレミスでプライベートキーを保持しながら、CloudflareのSSLサービスを利用できるようになります。 これは、Cloudflareのクリプトグラファーやシステムエンジニア、ネットワークスペシャリストが開発した、まったく新しいセキュリティテクノロジーです。
標準のCloudflare SSLサービスでは、お客様がご自身のサイトでCloudflareとSSLキーを共有する必要があります。 Cloudflareはさまざまな対策を駆使してお客様の重要な情報を保護します。 ただし、お客様によってはポリシーや技術的な障害があるためにCloudflareとのサイトのSSLキーの共有を行えない場合もあります。 このような場合に役立つのが、今回ご紹介するKeyless SSLです。
すでにCloudflareのお客様ですか?ログイン
Cloudflareにプライベートキーの管理を気楽に任せてくださるお客様がいらっしゃる一方で、独自のセキュリティ要件を持つお客様の場合にはそれが不可能な場合があります。 Keyless SSLを利用することで、キーの管理はユーザーが行いながら、暗号化されたトラフィックのルーティングにはCloudflareのグローバルネットワークを利用することが可能となります。
Keyless SSLによって、永久的に拡張可能で柔軟なCloudflareのようなソリューションを、これまでになかったSSLキーを共有しない形で初めて利用することができるようになるのです。 企業は、Webトラフィックを暗号化するか、SSLプライベートキーをサードパーティのクラウドプロバイダーに提供するかのどちらを選択することなく、クラウドのメリット(DDoS攻撃の抑制、負荷分散、WAN Optimization)のすべてを得ることができます。
注:Keyless SSLを使用するには、Cloudflareがトラフィックを復号化、検査、および再暗号化してお客様の配信元に送信する必要があります。
Cloudflareを介した非SSLトラフィックには、クライアント(Webブラウザーなど)、Cloudflareエッジノード、お客様の配信元サーバーの3者があります。
Keyless SSLによるSSLトラフィックを有効にする場合、初回のSSLセッションの作成にエンドポイントが1つ追加され、続いて通常の転送が再開します。###Keyless SSLトランザクションのリクエストのフローは次のようになります。### Keyless SSLトランザクションのリクエストフローは以下の通りです。
1a.クライアント(例:ウェブブラウザ)が、お客様に最も近いCloudflareのエッジノードにAnycastルーティング経由で接続する。そのクライアントがエッジサーバーにサイトの公開鍵で暗号化された秘密鍵を送信する。1b.エッジサーバーがキーサーバーにコンタクトし、自身の証明書で認証する。エッジサーバーが暗号化された秘密鍵をキーサーバーに送信して暗号化解除する。キーサーバーが、暗号化解除された秘密鍵を暗号トンネルを経由して返送する。2a.クライアントとサーバーの両方が共有する秘密鍵を使用してセキュアな接続を確立する。クライアント(例:ウェブブラウザ)がHTTPS経由でCloudflareを利用したお客様リソース向けにリクエストを生成する。2b.Cloudflareのエッジノード(セッションサーバー)が、元のリクエストを再暗号化、検査、処理する。認証ステップが実行されるのは、セッションあたりわずか1回で、そのセッション内のその他のリクエストにはキーサーバーへの余分なチェックは不要です。お客様はデフォルトのSSLセッションのTTL(Time To Live)を18時間から最短で5分間、最長で48時間まで変更することができます。キーレスSSLの詳細については、このブログ投稿をご覧ください。
CloudflareのKeyless SSL暗号化は、アプリケーションセキュリティと暗号化の分野で世界トップクラスの監査機関である、NCC GroupのiSEC PartnersとMatasano Securityによる審査を受けています。
Keyless SSLはまず、Enterprise Planをご利用のお客様限定でご提供します。 Enterprise PlanとKeyless SSLの詳細は、弊社セールスチームまでお問い合わせください。
ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利使っただけます。コード変更は必要はありません。
Cloudflareを利用することで、どなたのインターネットアプリケーションでもメリットを受けることができます。
ニーズに合ったプランをお選びください。
