Keyless SSLで、オンプレミスでプライベートキーを保持しながら、CloudflareのSSLサービスを利用できるようになります。 これは、Cloudflareのクリプトグラファーやシステムエンジニア、ネットワークスペシャリストが開発した、まったく新しいセキュリティテクノロジーです。
標準のCloudflare SSLサービスでは、お客様がご自身のサイトでCloudflareとSSLキーを共有する必要があります。 Cloudflareはさまざまな対策を駆使してお客様の重要な情報を保護します。 ただし、お客様によってはポリシーや技術的な障害があるためにCloudflareとのサイトのSSLキーの共有を行えない場合もあります。 このような場合に役立つのが、今回ご紹介するKeyless SSLです。
すでにCloudflareのお客様ですか?ログイン
Cloudflareにプライベートキーの管理を気楽に任せてくださるお客様がいらっしゃる一方で、独自のセキュリティ要件を持つお客様の場合にはそれが不可能な場合があります。 Keyless SSLを利用することで、キーの管理はユーザーが行いながら、暗号化されたトラフィックのルーティングにはCloudflareのグローバルネットワークを利用することが可能となります。
Keyless SSLによって、永久的に拡張可能で柔軟なCloudflareのようなソリューションを、これまでになかったSSLキーを共有しない形で初めて利用することができるようになるのです。 企業は、Webトラフィックを暗号化するか、SSLプライベートキーをサードパーティのクラウドプロバイダーに提供するかのどちらを選択することなく、クラウドのメリット(DDoS攻撃の軽減、負荷分散、WAN Optimization)のすべてを得ることができます。
注:Keyless SSLを使用するには、Cloudflareがトラフィックを復号化、検査、再暗号化してお客様の配信元に送信する必要があります。
Cloudflareを介した非SSLトラフィックには、クライアント(Webブラウザーなど)、Cloudflareエッジノード、お客様の配信元サーバーの三者が関わります。
Keyless SSLによるSSLトラフィックを有効にする場合、初回のSSLセッションの作成にもう一つエンドポイントが関与しますが、その後は通常の転送が再開します。
Keyless SSLトランザクションのリクエストフローは次の通りです:
1a.クライアント(例:ウェブブラウザ)が、お客様に最も近いCloudflareエッジノードにエニーキャストルーティングで接続する。そのクライアントがエッジサーバーに、サイトの公開鍵で暗号化された秘密を送信する。
1b.エッジサーバーがキーサーバーにコンタクトし、自身を証明書で認証する。エッジサーバーが暗号化された秘密をキーサーバーに送信して復号化する。キーサーバーが、復号化された秘密を暗号トンネルを経由して返送する。
2a.クライアントとサーバーの両方が共有の秘密を使用してセキュアな接続を確立する。クライアント(例:ウェブブラウザ)がHTTPS経由で、Cloudflareで稼働するお客様リソースを要求するリクエストを生成する。
2b.Cloudflareのエッジノード(セッションサーバー)が、元のリクエストを復号化、検査、処理する。認証ステップが実行されるのは1セッションにつき1回だけで、そのセッション内のその他のリクエストにはキーサーバーへの追加チェックは不要です。お客様はSSLセッションのTTL(Time To Live)を、デフォルトの18時間から最短5分間、最長48時間まで変更することができます。Keyless SSLの詳細については、このブログ記事をご覧ください。
CloudflareのKeyless SSL暗号化は、アプリケーションセキュリティと暗号化の分野で世界トップクラスの監査機関である、NCC GroupのiSEC PartnersとMatasano Securityによる審査を受けています。
Keyless SSLはまず、Enterprise Planをご利用のお客様限定でご提供します。 Enterprise PlanとKeyless SSLの詳細は、弊社セールスチームまでお問い合わせください。
ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。
セールス