要打造更安全、更美好的互联网,尽量将所有的 Web 流量加密以防数据遭到窃取与窜改,是很重要的一步。 我们很自豪能够成为第一家免费提供 SSL 防护的互联网性能与安全性公司。
SSL(安全套接字层)是用于在 Web 服务器和浏览器之间建立加密链接的标准安全技术。此安全链接可确保传输的所有数据保持私密。它也称为 TLS(传输层安全性)。每天都有数以百万计的网站使用 SSL 加密来保护连接并保护其客户数据免受监视和篡改
Internet 上的每个网站都应通过 HTTPS 提供服务。这是因为:
手动配置 SSL 需要几个步骤,配置不当可能会阻碍用户访问您的网站。在 Cloudflare 中,通过单击按钮,即可对任何 Internet 资产启用 HTTPS。使用 Cloudflare SSL 时,您无需担心 SSL 证书过期或与最新的 SSL 漏洞保持同步。
HTTPS 不同于往昔。 如今的 HTTPS 比以往更快、更安全,已为更多网站所使用。 SSL 支持 HTTP/2,而 HTTP/2 可在不更改现有代码库的情况下使网站速度提高两倍。 现代的 TLS 还包括面向性能的功能,如会话恢复、OCSP 装订和使用较小密钥的椭圆曲线加密(从而导致更快的握手)。 TLS 1.3 进一步降低了延迟并移除了 TLS 的不安全功能,使得 HTTPS 比任何以前版本的 TLS 及其不安全的 HTTP 更安全和更高效。
Cloudflare 还进一步提高了 OpenSSL 的性能。 我们实施了 ChaCha20-Poly1305,此密码套件在移动设备上的运行速度比 AES-128-GCM 快三倍。 我们关注性能。
Cloudflare SSL 可以不同的模式运行,具体取决于所需的安全级别和您愿意执行的配置量。传到最终用户的流量将始终加密,这意味着您的网站将始终享受 HTTPS 带来的好处。但是,可以通过多种方式配置 Cloudflare 与源站之间的流量。## 灵活 SSL 灵活 SSL 对从 Cloudflare 到您网站最终用户的流量进行加密,但不加密从 Cloudflare 到您的源站的流量。这是启用 HTTPS 的最简单方法,因为无需在您的源站上安装 SSL 证书。虽然灵活的 SSL 不如其他选项安全,但确实可以保护您的访问者免受大量威胁,包括公共 WiFi 窥探和通过 HTTP 进行的广告植入。
完全 SSL 模式提供从最终用户到 Cloudflare 以及从 Cloudflare 到源站的加密。这需要在源站上安装 SSL 证书。在完全 SSL 模式下,您可以在服务器上安装的证书有三种:由证书颁发机构颁发的证书(严格)、由 Cloudflare 颁发的证书(原始 CA),或者是自签名证书。建议您使用通过 Cloudflare 原始 CA 获得的证书。
原始 CA 使用 Cloudflare 颁发的 SSL 证书,而非证书机构颁发的证书。这能减小在源站上配置 SSL 时遇到的阻力,同时仍保护从源站到 Cloudflare 的流量。如果不使用 CA 签名的证书,您可以直接在 Cloudflare 仪表板中生成一个签名证书。
Cloudflare 会自动提供由多个客户域共享的 SSL 证书。Business 和 Enterprise 客户可以选择上传将呈现给最终用户的自定义、专用 SSL 证书。这允许使用扩展验证 (EV) 和组织验证 (OV) 证书。## Modern TLS Only PCI 3.2 合规要求使用 TLS 1.2 或1.3,因为所有早期版本的 TLS 和 SSL 中都存在已知漏洞。Cloudflare 提供了 “Modern TLS Only” 选项,该选项强制通过 TLS 1.2 或 1.3 传送来自您网站的所有 HTTPS 通信。
Opportunistic Encryption 提供仅限 HTTP 的域,这些域由于混合内容或其他遗留问题,无法升级到 HTTPS,加密和 Web 优化功能的优势只能通过 TLS 来提供,而无需更改一行代码。.
Cloudflare 的相互验证(TLS 客户端验证)在客户端(例如物联网设备或移动应用)与其源站之间创建安全连接。当客户端尝试与其原始服务器建立连接时,Cloudflare 会验证设备的证书,以检查其是否已获得对端点的访问权限。如果设备具有有效的客户端证书,如同具有进入建筑物的正确密钥,则能够建立安全连接。如果设备的证书丢失、过期或无效,则会撤消连接,并且 Cloudflare 会返回 403 错误。
支持 HTTP Strict Transport Security(HSTS)协议是更好地保护您的网站、API 或移动应用程序的最简单方式之一。HSTS 是 HTTP 协议的扩展,它会强制客户端为源站的每个请求使用安全连接。只需单击一下按钮,Cloudflare 就可以提供 HSTS 支持。
通过动态地将不安全的 URL 从已知(安全)主机重写到安全的对等主机,Automatic HTTPS Rewrites 安全地消除了混合内容问题,同时增强了性能和安全性。通过强制执行安全连接,“Automatic HTTPS Rewrites”使您能够利用仅通过 HTTPS 提供的最新安全标准和 Web 优化功能。
加密的 SNI 将 TLS 协商期间 ClientHello 消息中使用的纯文本“server_name”扩展替换为“encrypted_server_name”。此功能在 TLS 1.3 上进行了扩展,通过对访问者和网站之间的中介隐藏目标主机名,增加了用户的隐私。
Geo Key Manager 提供了选择哪个 Cloudflare 数据中心可以访问私钥以建立 HTTPS 连接的功能。Cloudflare 具有预先配置的选项,可从美国或欧盟数据中心以及 Cloudflare 网络中最高安全性数据中心中进行选择。无法访问私钥的数据中心仍然可以终止 TLS,但在联系存储私钥的最近 Cloudflare 数据中心时,它们会遇到轻微的初始延迟。
专用 SSL 证书通过我们的全球内容分发网络提供高级加密和兼容性,以及快如闪电的性能。只需在 Cloudflare 仪表板中单击几下,即可轻松快速地颁发新证书,安全地生成私钥等。所有 Cloudflare 定价计划均可购买专用 SSL 证书。了解更多
Cloudflare 工程师每天处理数十亿个 SSL 请求,因此当发现新的安全漏洞时,我们必须赶紧解决。 由于我们采用的安全标准十分严格,许多漏洞并不会影响用户,但我们喜欢解释如何破坏加密。
在不到5分钟内建立域名。保持您的托管服务提供商。不需要更改代码。
Cloudflare 能为每个人的 Internet 应用程序带来益处。
挑选适合您需求的计划。
支持 Cloudflare SSL Free 用户使用的最低浏览器版本:
以上所述的操作系统是所需的最低版本。如果您需要与旧版浏览器(例如 Windows XP SP2 和 Android <3.0)实现更高的兼容性,请在我们的 Pro、Business 或 Enterprise plan 中使用 SSL。如果您还有其他疑问,请参阅我们的常见问题 。