Keyless SSLの概要

Keyless SSLで、オンプレミスでプライベートキーを保持しながら、CloudflareのSSLサービスを利用できるようになります。これは、Cloudflareのクリプトグラファーやシステムエンジニア、ネットワークスペシャリストが開発した、まったく新しいセキュリティテクノロジーです。

標準のCloudflare SSLサービスでは、お客様がご自身のサイトでCloudflareとSSLキーを共有する必要があります。Cloudflareはさまざまな対策を駆使してお客様の重要な情報を保護します。ただし、お客様によってはポリシーや技術的な障害があるためにCloudflareとのサイトのSSLキーの共有を行えない場合もあります。このような場合に役立つのが、今回ご紹介するKeyless SSLです。

すでにCloudflareをご利用ですか?ログイン

keyless hsm

Keyless SSLを使う理由は?

Cloudflareにプライベートキーの管理を気楽に任せてくださるお客様がいらっしゃる一方で、独自のセキュリティ要件を持つお客様の場合にはそれが不可能な場合があります。Keyless SSLを利用することで、キーの管理はユーザーが行いながら、暗号化されたトラフィックのルーティングにはCloudflareのグローバルネットワークを利用することが可能となります。

Keyless SSLによって、永久的に拡張可能で柔軟なCloudflareのようなソリューションを、これまでになかったSSLキーを共有しない形で初めて利用することができるようになるのです。企業は、Webトラフィックを暗号化するか、SSLプライベートキーをサードパーティのクラウドプロバイダーに提供するかのどちらを選択することなく、クラウドのメリット(DDoS攻撃の抑制、負荷分散、WAN Optimization)のすべてを得ることができます。

Keyless SSLの動作原理

How Keyless SSL Works

注:Keyless SSL利用には、お客様の配信元に戻す際に、Cloudflareによるトラフィックの暗号化解除、検査、再暗号化が必要です。

Cloudflareを経由した非SSLトラフィックに関与するのは、クライアント(例:ウェブブラウザ)、Cloudflareエッジノード、お客様の配信元サーバーの3者です。

Keyless SSLによるSSLトラフィックを有効にする場合、初回のSSLセッションの作成にエンドポイントが1つ追加され、続いて通常の転送が再開します。###Keyless SSLトランザクションのリクエストのフローは次のようになります。

Keyless SSLトランザクションのリクエストフローは以下の通りです。

1a.クライアント(例:ウェブブラウザ)が、お客様に最も近いCloudflareのエッジノードにAnycastルーティング経由で接続する。そのクライアントがエッジサーバーにサイトの公開鍵で暗号化された秘密鍵を送信する。

1b.エッジサーバーがキーサーバーにコンタクトし、自身の証明書で認証する。エッジサーバーが暗号化された秘密鍵をキーサーバーに送信して暗号化解除する。キーサーバーが、暗号化解除された秘密鍵を暗号トンネルを経由して返送する。

2a.クライアントとサーバーの両方が共有する秘密鍵を使用してセキュアな接続を確立する。クライアント(例:ウェブブラウザ)がHTTPS経由でCloudflareを利用したお客様リソース向けにリクエストを生成する。

2b.Cloudflareのエッジノード(セッションサーバー)が、元のリクエストを再暗号化、検査、処理する。

認証ステップが実行されるのは、セッションあたりわずか1回で、そのセッション内のその他のリクエストにはキーサーバーへの余分なチェックは不要です。お客様はデフォルトのSSLセッションのTTL(Time To Live)を18時間から最短で5分間、最長で48時間まで変更することができます。

Keyless SSLの詳細は[こちらのブログ記事]を参照してください(https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/)。

サードパーティーセキュリティ監査

CloudflareのKeyless SSL暗号化は、アプリケーションセキュリティと暗号化の分野で世界トップクラスの監査機関である、NCC GroupのiSEC PartnersとMatasano Securityによる審査を受けています。

Keyless SSLへのAccess取得

Keyless SSLはまず、Enterprise Planをご利用のお客様限定でご提供します。Enterprise PlanとKeyless SSLの詳細は、弊社セールスチームまでお問い合わせください。

Cloudflareの設定は簡単です

ドメインの設定は5分とかかりません。ホスト事業者はそのまま。コード変更不要。

Cloudflareの料金設定

Cloudflareは、あらゆるインターネットアプリケーションにメリットをもたらします。
ニーズに合ったプランをお選びください。

Free $ 0 /月 Webサイトあたり
詳しく見る 隠す
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

詳細

Freeプランには次の機能がすべて含まれます。
  • 定額制のDDoS対策
  • グローバルCDN
  • 共有SSL証明書
  • アカウント監査ログへのアクセス
  • 3つのPage Rule
すべての機能を比較
Pro $ 20 /月 Webサイトあたり
詳しく見る 隠す
基本的なセキュリティやパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

詳細

ProプランにはFreeプランの全機能のほか、次の機能が含まれます。
  • Cloudflareルールセットに基づくWebアプリケーションファイアウォール(WAF)
  • Polish™による画像最適化
  • Mirage™によるモバイル最適化
  • I'm Under Attack™モード
  • アカウント監査ログへのアクセス
  • 20のPage Rule
すべての機能を比較
Business $ 200 /月 Webサイトあたり
詳しく見る 隠す
高度なセキュリティやパフォーマンス、PCI準拠、優先メールサポートを必要とする小規模な電子商取引Webサイトや企業向け。

詳細

Businessプランには、Proプランの全機能のほか、次の機能が含まれます。
  • 25のカスタムルールセットに基づくWebアプリケーションファイアウォールf(WAF)
  • カスタムSSL証明書のアップロード
  • Modern TLS OnlyモードとWAFによるPCI準拠
  • Bypass Cache on Cookie
  • Railgun™による動的コンテンツの配信の高速化
  • 優先メールサポート
  • アカウント監査ログへのアクセス
  • 50のPage Rule
すべての機能を比較
Enterprise お問い合わせ
詳しく見る 隠す
エンタープライズクラスのセキュリティとパフォーマンス、1日24時間365日の優先電話、メール、チャットサポート、稼働率の保証を必要とする企業向け。

詳細

Enterpriseプランには、Businessプランの全機能のほか、次の機能が含まれます。
  • 電話、メール、チャットによる1日24時間365日のエンタープライズクラスのサポート
  • 稼働率100%保証と25倍の払い戻しを定めたSLA
  • ネットワークの優先順位付けによるエンタープライズクラスのDDoS対策
  • 無制限のカスタムルールセットに基づく高度なWebアプリケーションファイアウォール(WAF)
  • マルチユーザーによるロールベースのアカウントアクセス
  • 複数のカスタムSSL証明書のアップロード
  • 未加工ログへのアクセス
  • アカウント監査ログへのアクセス
  • 専任のソリューションおよびカスタマーサクセスエンジニア
  • 中国のCDNデータセンターへのアクセス(有料)
  • 100のPage Rule
すべての機能を比較

Free

$ 0 /
 
個人のWebサイトやブログを運営している方、またはCloudflareを試してみたい方向け。

Pro

$ 20 /
ドメインあたり
基本的なセキュリティとパフォーマンスを必要とするプロフェッショナルなWebサイト、ブログ、ポートフォリオ向け。

Business

$ 200 /
ドメインあたり
高度なセキュリティやパフォーマンス、PCI準拠、優先メールサポートを必要とする小規模な電子商取引Webサイトや企業向け。

Enterprise

お問い合わせ
 
エンタープライズクラスのセキュリティとパフォーマンス、1日24時間365日の優先電話、メール、チャットサポート稼働率の保証を必要とする企業向け。

Cloudflareのお客様

26,000,000を超えるインターネットプロパティ

trustedby crunchbase black
trustedby ao com black
trustedby zendesk black
logo sofi gray 32px wrapper
trustedby log me in black
trustedby digital ocean black
trustedby okcupid black
trustedby montecito black
trustedby discord black
trustedby library of congress black
trustedby udacity black
trustedby marketo black