Keyless SSLの概要

Keyless SSLで、オンプレミスでプライベートキーを保持しながら、CloudflareのSSLサービスを利用できるようになります。 これは、Cloudflareのクリプトグラファーやシステムエンジニア、ネットワークスペシャリストが開発した、まったく新しいセキュリティテクノロジーです。

標準のCloudflare SSLサービスでは、お客様がご自身のサイトでCloudflareとSSLキーを共有する必要があります。 Cloudflareはさまざまな対策を駆使してお客様の重要な情報を保護します。 ただし、お客様によってはポリシーや技術的な障害があるためにCloudflareとのサイトのSSLキーの共有を行えない場合もあります。 このような場合に役立つのが、今回ご紹介するKeyless SSLです。

すでにCloudflareのお客様ですか?ログイン

keyless hsm

Keyless SSLを使う理由は?

Cloudflareにプライベートキーの管理を気楽に任せてくださるお客様がいらっしゃる一方で、独自のセキュリティ要件を持つお客様の場合にはそれが不可能な場合があります。 Keyless SSLを利用することで、キーの管理はユーザーが行いながら、暗号化されたトラフィックのルーティングにはCloudflareのグローバルネットワークを利用することが可能となります。

Keyless SSLによって、永久的に拡張可能で柔軟なCloudflareのようなソリューションを、これまでになかったSSLキーを共有しない形で初めて利用することができるようになるのです。 企業は、Webトラフィックを暗号化するか、SSLプライベートキーをサードパーティのクラウドプロバイダーに提供するかのどちらを選択することなく、クラウドのメリット(DDoS攻撃の抑制、負荷分散、WAN Optimization)のすべてを得ることができます。

Keyless SSLの動作原理

Keyless SSLの仕組み

注:Keyless SSLを使用するには、Cloudflareがトラフィックを復号化、検査、および再暗号化してお客様の配信元に送信する必要があります。

Cloudflareを介した非SSLトラフィックには、クライアント(Webブラウザーなど)、Cloudflareエッジノード、お客様の配信元サーバーの3者があります。

Keyless SSLによるSSLトラフィックを有効にする場合、初回のSSLセッションの作成にエンドポイントが1つ追加され、続いて通常の転送が再開します。###Keyless SSLトランザクションのリクエストのフローは次のようになります。### Keyless SSLトランザクションのリクエストフローは以下の通りです。

1a.クライアント(例:ウェブブラウザ)が、お客様に最も近いCloudflareのエッジノードにAnycastルーティング経由で接続する。そのクライアントがエッジサーバーにサイトの公開鍵で暗号化された秘密鍵を送信する。1b.エッジサーバーがキーサーバーにコンタクトし、自身の証明書で認証する。エッジサーバーが暗号化された秘密鍵をキーサーバーに送信して暗号化解除する。キーサーバーが、暗号化解除された秘密鍵を暗号トンネルを経由して返送する。2a.クライアントとサーバーの両方が共有する秘密鍵を使用してセキュアな接続を確立する。クライアント(例:ウェブブラウザ)がHTTPS経由でCloudflareを利用したお客様リソース向けにリクエストを生成する。2b.Cloudflareのエッジノード(セッションサーバー)が、元のリクエストを再暗号化、検査、処理する。認証ステップが実行されるのは、セッションあたりわずか1回で、そのセッション内のその他のリクエストにはキーサーバーへの余分なチェックは不要です。お客様はデフォルトのSSLセッションのTTL(Time To Live)を18時間から最短で5分間、最長で48時間まで変更することができます。キーレスSSLの詳細については、このブログ投稿をご覧ください。

サードパーティーセキュリティ監査

CloudflareのKeyless SSL暗号化は、アプリケーションセキュリティと暗号化の分野で世界トップクラスの監査機関である、NCC GroupのiSEC PartnersとMatasano Securityによる審査を受けています。

Keyless SSLへのAccess取得

Keyless SSLはまず、Enterprise Planをご利用のお客様限定でご提供します。 Enterprise PlanとKeyless SSLの詳細は、弊社セールスチームまでお問い合わせください。

Cloudflareの設定は簡単です

ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利使っただけます。コード変更は必要はありません。

Cloudflareの料金設定

Cloudflareを利用することで、どなたのインターネットアプリケーションでもメリットを受けることができます。
ニーズに合ったプランをお選びください。

無料 $ 0 /月 /Webサイト
展開してさらに表示 非表示
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

詳細

Freeプランには次の機能がすべて含まれます。
  • 定額制のDDoS対策
  • グローバルなCDN
  • 共有SSL証明書
  • アカウント監査ログへのアクセス
  • 3つのPage Rule
すべての機能を比較
Pro $ 20 /月 /Webサイト
展開してさらに表示 非表示
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

詳細

ProプランにはFreeプランの全機能のほか、次の機能が含まれます。
  • Cloudflareルールセットに基づくWebアプリケーションファイアウォール(WAF)
  • Polish™による画像最適化
  • Mirage™によるモバイル最適化
  • I'm Under Attack™モード
  • アカウント監査ログへのアクセス
  • 20のPage Rule
すべての機能を比較
ビジネス $ 200 /月 Webサイト
展開してさらに表示 非表示
高度なセキュリティやパフォーマンス、PCI準拠、優先メールサポートを必要とする小規模な電子商取引Webサイトや企業向け。

詳細

Businessプランには、Proプランの全機能のほか、次の機能が含まれます。
  • 25のカスタムルールセットに基づくWebアプリケーションファイアウォールf(WAF)
  • カスタムSSL証明書のアップロード
  • Modern TLS OnlyモードとWAFによるPCI準拠
  • Bypass Cache on Cookie
  • Railgun™による動的コンテンツの配信の高速化
  • 優先メールサポート
  • アカウント監査ログへのアクセス
  • 50のPage Rule
すべての機能を比較
エンタープライズプラン 問い合わせ
展開してさらに表示 非表示
エンタープライズクラスのセキュリティとパフォーマンス、1日24時間365日の優先電話、メール、チャットサポート、稼働率の保証を必要とする企業向け。

詳細

Enterpriseプランには、Businessプランの全機能のほか、次の機能が含まれます。
  • 電話、メール、チャットによる1日24時間365日のエンタープライズクラスのサポート
  • 稼働率100%保証と25倍の払い戻しを定めたSLA
  • ネットワークの優先順位付けによるエンタープライズクラスのDDoS対策
  • 無制限のカスタムルールセットに基づく高度なWebアプリケーションファイアウォール(WAF)
  • マルチユーザーによるロールベースのアカウントアクセス
  • 複数のカスタムSSL証明書のアップロード
  • 未加工ログへのアクセス
  • アカウント監査ログへのアクセス
  • 専任のソリューションおよびカスタマーサクセスエンジニア
  • 中国のCDNデータセンターへのアクセス(有料)
  • 100のPage Rule
すべての機能を比較

無料

$ 0 /
 
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

Pro

$ 20 /
ドメインあたり
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

Business

$ 200 /
ドメインあたり
高度なセキュリティやパフォーマンス、PCI準拠、優先メールサポートを必要とする小規模な電子商取引Webサイトや企業向け。

Enterprise

お問い合わせ
 
エンタープライズクラスのセキュリティとパフォーマンス、24時間365日の優先電話、メール、チャットサポート、稼働率の保証を必要とする企業向け。

Cloudflareのお客様

2500万以上のインターネットプロパティ

trustedby crunchbase black
trustedby ao com black
trustedby zendesk black
logo sofi gray 32px wrapper
trustedby log me in black
trustedby digital ocean black
trustedby okcupid black
trustedby montecito black
trustedby discord black
trustedby library of congress black
trustedby udacity black
trustedby marketo black