O Keyless SSL permite que sites usem o serviço Cloudflare SSL e, ao mesmo tempo, mantenham a custódia local de suas chaves privadas. Essa é uma tecnologia de segurança novíssima, desenvolvida por uma equipe de criptógrafos, engenheiros de sistemas e especialistas em redes da Cloudflare.
O serviço Cloudflare SSL padrão requer que o cliente compartilhe a chave SSL do seu site com a Cloudflare. A Cloudflare adota medidas técnicas abrangentes para proteger as informações da chave do cliente. No entanto, alguns clientes enfrentam obstáculos técnicos ou de política que os impedem de compartilhar a chave SSL do seu site com a Cloudflare. Por isso estamos empolgados por apresentar o Keyless SSL.
Já é cliente da Cloudflare? Entre
Embora a maioria dos clientes se sinta confortável com a Cloudflare administrando suas chaves privadas, alguns têm requisitos exclusivos de segurança que tornam isso impossível. O Keyless SSL permite que os usuários retenham o controle das chaves e continuem roteando tráfego criptografado pela rede global da Cloudflare.
Com o Keyless SSL, pela primeira vez, uma organização pode usar uma solução como a Cloudflare, que é infinitamente escalável e infinitamente elástica, sem compartilhar sua chave SSL. As empresas conseguem obter todos as vantagens da nuvem (mitigação de ataque de DDoS, balanceamento de carga, Wan Optimization), sem precisar escolher entre criptografar seu tráfego web ou fornecer suas chaves privadas de SSL a um provedor de nuvem terceirizado.
Observação: o Keyless SSL requer que a Cloudflare decodifique, inspecione e recodifique o tráfego para transmiti-lo de volta à origem do cliente.
Para tráfego não SSL por meio da Cloudflare, existem três partes: o cliente (por exemplo, navegador da Web), o nó da Cloudflare na borda e o servidor de origem do usuário.
No tráfego SSL com Keyless SSL ativo, há um terminal adicional envolvido na criação da sessão SSL inicial, após a qual a transmissão normal é retomada.
1a. O cliente (por exemplo, navegador da Web) conecta-se ao nó da Cloudflare na borda mais próximo do usuário, via roteamento Anycast. O cliente envia um segredo para o servidor na borda criptografado com a chave pública do site.
1b. O servidor da borda entra em contato com o servidor de chave, autenticando a si mesmo com um certificado. O servidor da borda envia o segredo criptografado ao servidor de chave para decodificá-lo. O servidor de chave devolve o segredo decodificado por um túnel criptografado.
2a. O cliente e o servidor usam o segredo compartilhado para estabelecer uma conexão segura. O cliente (por exemplo, navegador da web) faz uma solicitação HTTPS para o recurso do usuário alimentado pela Cloudflare.
2b. O nó da Cloudflare na borda (o Servidor da Sessão) decodifica, inspeciona e processa a solicitação original.
A etapa de autenticação ocorre apenas uma vez por sessão; as solicitações adicionais durante a sessão não requerem a verificação extra com o Servidor de Chave. O usuário pode modificar a TTL (vida útil) da sessão SSL de 18 horas para qualquer tempo, de 5 minutos a 48 horas.
Para ver mais detalhes sobre o Keyless SSL, confira esta postagem no blog.
A criptografia do Keyless SSL da Cloudflare foi analisada pela ISEC Partners em conjunto com a Matasano Security, e por cada parte do NCC Group — líderes mundiais em aplicações de segurança e análise criptográfica.
A princípio, o Keyless SSL estará disponível apenas para usuários do Enterprise Plan. Para mais informações sobre o Enterprise Plan e o Keyless SSL, entre em contato com nossa equipe de vendas.
Configure um domínio em menos de 5 minutos. Mantenha seu provedor de hospedagem. Não é preciso alterações no código.
O aplicativo de Internet de todos pode se beneficiar com o uso da Cloudflare.
Escolha o melhor plano para suas necessidades.