가입
|
Keyless SSL을 이용하면 사이트는 현장의 개인 키 관리를 유지하면서 Cloudflare의 SSL 서비스를 이용할 수 있습니다. 이는 Cloudflare의 암호 전문가, 시스템 엔지니어 및 네트워크 전문가가 한 팀이 되어 개발한 새로운 보안 기술입니다.
표준 Cloudflare SSL 서비스에서는 고객이 Cloudflare와 사이트의 SSL 키를 공유해야 합니다. Cloudflare는 고객의 키 정보를 보호하기 위해 고도의 기술 조치를 취합니다. 그러나 Cloudflare와 사이트의 SSL 키를 공유할 수 없는 정책적 또는 기술적 장애가 있는 경우도 있습니다. 그래서 Keyless SSL 서비스가 탄생했습니다.
이미 Cloudflare 고객이신가요? 로그인
대부분의 고객은 Cloudflare가 개인 키를 관리하는 것에 문제가 없으나, 특정 보안 요건 때문에 관리가 불가능한 경우도 있습니다. Keyless SSL을 이용하면 사용자가 Cloudflare의 글로벌 네트워크를 통해 암호화된 트래픽을 라우팅하면서도 키를 제어할 수 있습니다.
Keyless SSL를 통해 조직들은 최초로 SSL 키를 공유하지 않고도 무한 확장 가능하고 무한 탄력적인 Cloudflare와 같은 솔루션을 사용할 수 있습니다. 기업은 웹 트래픽을 암호화할 것인지, 타사 클라우드 공급업체에 SSL 개인 키를 맡길 것인지 고민할 필요 없이 DDoS 공격 완화, 부하 분산, WAN 최적화 등 클라우드의 모든 장점을 누릴 수 있습니다.
참고: Keyless SSL에서 Cloudflare는 고객의 원본으로 재전송하기 위해 트래픽에 대해 암호 해독, 검사, 재암호화를 해야 합니다.
Cloudflare를 통하는 SSL이 아닌 트래픽에는 클라이언트(예: 웹 브라우저), Cloudflare 에지 노드, 고객 원본 서버 등 세 가지가 관여합니다.
Keyless SSL을 사용하는 SSL 트래픽에는 초기 SSL 세션 생성과 관련된 추가적 엔드 포인트가 하나 더 관여하며, 이후 정상적인 전송이 재개됩니다.
Keyless SSL 전송의 요청 흐름은 다음과 같습니다.
1a. 클라이언트(예: 웹 브라우저)가 Anycast 라우팅을 통해 고객과 가장 가까운 Cloudflare 에지 노드에 연결합니다. 사이트의 공용 키로 암호화된 에지 서버로 클라이언트가 비밀을 전송합니다.
1b. 에지 서버가 키 서버에 접촉해 인증서로 인증을 받습니다. 에지 서버는 암호화된 비밀을 키 서버로 전송해 암호를 해독하게 합니다. 키 서버가 암호화된 터널을 통해 암호가 해독된 비밀을 재전송합니다.
2a. 클라이언트와 서버 모두 보안 연결을 확립하기 위해 공유된 비밀을 이용합니다. 클라이언트(예: 웹 브라우저)가 HTTPS를 통해 Cloudflare 기술을 이용하는 고객 리소스를 요청합니다.
2b. Cloudflare 에지 노드(세션 서버)가 원래 요청의 암호를 해독하고 검사하며 처리합니다.
인증 단계는 세션당 한 번만 발생하며, 세션 내 추가 요청에는 키 서버의 추가 검사가 필요하지 않습니다. 고객은 기본 SSL 세션 TTL(Time To Live)을 18시간부터 짧게는 5분, 길게는 48시간까지 수정할 수 있습니다.
Keyless SSL에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.
Cloudflare의 Keyless SSL 암호화 방식은 iSEC Partners와 Matasano Security의 공동 점검과 NCC 그룹 각 부분의 점검을 거쳤습니다. 이들은 세계를 이끄는 애플리케이션 보안 및 암호화 점검 업체입니다.
Keyless SSL는 최초에는 Enterprise Plan 고객에게만 제공될 것입니다. Enterprise Plan 및 Keyless SSL에 관한 문의는 당사 판매팀에 문의하시기 바랍니다.
도메인 설정에는 5분도 걸리지 않습니다. 호스팅 공급자나 코드를 변경할 필요도 없습니다.