Cloudflare 免费 SSL/TLS

要打造更安全、更美好的互联网,尽量将所有的 Web 流量加密以防数据遭到窃取与窜改,是很重要的一步。 我们很自豪能够成为第一家免费提供 SSL 防护的互联网性能与安全性公司。

在仪表板中查看

寻找企业级解决方案? 联系销售

cloudflare security illustration

什么是 SSL

什么是 SSL?

SSL(安全套接字层)是用于在 Web 服务器和浏览器之间建立加密链接的标准安全技术。 此安全链接可确保传输的所有数据保持私密。 它也被称为 TLS(传输层安全性)。 数以百万计的网站每天都使用 SSL 加密来保护连接,使客户的数据免受监控和篡改

为什么要使用 SSL?

互联网上的每个网站都应通过 HTTPS 提供服务。 原因如下:

  • 性能 :现代 SSL 实际上可以缩短页面加载时间。
  • 搜索排名提升 :搜索引擎偏爱 HTTPS 网站。
  • 安全 :使用 SSL 加密流量可确保任何人都无法窥探用户的数据。
  • 信任 :通过在浏览器的地址栏中显示绿色锁,SSL 增加了访问者的信任度。
  • 合規性 :SSL 是 PCI 合规性的关键组成部分。

简单的 SSL 配置

手动配置 SSL 需要几个步骤,错误配置可能会阻止用户访问您的网站。 在 Cloudflare 中,通过单击按钮,即可对任何 Internet 资产启用 HTTPS。 使用 Cloudflare SSL 时,您无需担心 SSL 证书过期或与最新的 SSL 漏洞保持同步。

手动配置 SSL

manually-configuring-ssl

使用 Cloudflare 配置 SSL

configuring-ssl-with-cloudflare

SSL 性能

HTTPS 不同于往昔。 如今的 HTTPS 比以往更快、更安全,已为更多网站所使用。 SSL 支持 HTTP/2,而 HTTP/2 可在不更改现有代码库的情况下使网站速度提高两倍。 现代的 TLS 还包括面向性能的功能,如会话恢复、OCSP 装订和使用较小密钥的椭圆曲线加密(从而导致更快的握手)。 TLS 1.3 进一步降低了延迟并移除了 TLS 的不安全功能,使得 HTTPS 比任何以前版本的 TLS 及其不安全的 HTTP 更安全和更高效。

Cloudflare 还进一步提高了 OpenSSL 的性能。 我们实施了 ChaCha20-Poly1305,此密码套件在移动设备上的运行速度比 AES-128-GCM 快三倍。 我们关注性能。

Cloudflare SSL 配置

运行模式

Cloudflare SSL 可以不同的模式运行,具体取决于所需的安全级别和您愿意执行的配置量。 传到最终用户的流量将始终加密,这意味着您的网站将始终享受 HTTPS 带来的好处。 但是,可以通过多种方式配置 Cloudflare 与源站之间的流量。

灵活 SSL

灵活 SSL 对从 Cloudflare 到您网站最终用户的流量进行加密,但不加密从 Cloudflare 到您的源站的流量。 这是启用 HTTPS 的最简单方法,因为无需在您的源站上安装 SSL 证书。 虽然灵活的 SSL 不如其他选项安全,但确实可以保护您的访问者免受大量威胁,包括公共 WiFi 窥探和通过 HTTP 进行的广告植入。

flexible-ssl

完全 SSL

完全 SSL 模式提供从最终用户到 Cloudflare 以及从 Cloudflare 到源站的加密。 这需要在源站上安装 SSL 证书。 在完整的 SSL 模式下,您可以在服务器上安装的证书有三种:由证书颁发机构颁发的证书(严格)、由 Cloudflare 颁发的证书(原始 CA),或者是自签名证书。 建议您使用通过 Cloudflare Origin CA 获得的证书。

full-ssl-strict

Origin CA

Origin CA 使用 Cloudflare 颁发的 SSL 证书,而不是证书颁发机构颁发的 SSL 证书。 这能减少在源站上配置 SSL 时遇到的阻力,同时仍保护从源站到 Cloudflare 的流量。 如果不使用 CA 签名的证书,您可以直接在 Cloudflare 仪表板中生成一个签名证书。

高级配置选项

自定义证书

Cloudflare 会自动提供由多个客户域共享的 SSL 证书。 Business 和 Enterprise 客户可以选择上传将呈现给最终用户的自定义、专用 SSL 证书。 这允许使用扩展验证 (EV) 和组织验证 (OV) 证书。

Modern TLS Only

PCI 3.2 合规要求使用 TLS 1.2 或 1.3,因为所有早期版本的 TLS 和 SSL 中都存在已知漏洞。 Cloudflare提供了“Modern TLS Only”选项,该选项强制通过 TLS 1.2 或 1.3 传送来自您网站的所有 HTTPS 通信。

随机加密

Opportunistic Encryption 提供仅限 HTTP 的域,这些域由于混合内容或其他遗留问题,无法升级到 HTTPS,加密和 Web 优化功能的优势只能通过 TLS 来提供,而无需更改一行代码。

TLS 客户端验证

Cloudflare 的相互验证(TLS 客户端验证)在客户端(例如物联网设备或移动应用)与其源站之间创建安全连接。 当客户端尝试与其原始服务器建立连接时,Cloudflare会验证设备的证书,以检查其是否已获得对端点的访问权限。 如果设备具有有效的客户端证书,如同具有进入建筑物的正确密钥,则能够建立安全连接。 如果设备的证书丢失、过期或无效,则会撤消连接,并且 Cloudflare 会返回 403 错误。

HSTS

支持 HTTP Strict Transport Security (HSTS) 协议是更好地保护您的网站、API 或移动应用程序的最简单方式之一。 HSTS 是 HTTP 协议的扩展,它会强制客户端为源站的每个请求使用安全连接。 只需单击一下按钮,Cloudflare 就可以提供 HSTS 支持。

Automatic HTTPS Rewrites

通过动态地将不安全的 URL 从已知(安全)主机重写到安全的对等主机,Automatic HTTPS Rewrites 安全地消除了混合内容问题,同时增强了性能和安全性。 通过强制执行安全连接,“Automatic HTTPS Rewrites”使您能够利用仅通过 HTTPS 提供的最新安全标准和 Web 优化功能。

加密服务器名称指示符 (SNI)

加密的 SNI 将 TLS 协商期间 ClientHello 消息中使用的纯文本“server_name”扩展替换为“encrypted_server_name”。 此功能在 TLS 1.3 上进行了扩展,通过对访问者和网站之间的中介隐藏目标主机名,增加了用户的隐私。

Geo Key Manager

Geo Key Manager 提供了选择哪个 Cloudflare 数据中心可以访问私钥以建立 HTTPS 连接的功能。 Cloudflare 具有预先配置的选项,可从美国或欧盟数据中心以及 Cloudflare 网络中最高安全性数据中心中进行选择。 无法访问私钥的数据中心仍然可以终止 TLS,但在联系存储私钥的最近的 Cloudflare 数据中心时,它们会遇到轻微的初始延迟。

专用 SSL 证书

专用 SSL 证书通过我们的全球内容分发网络提供高级加密和兼容性,以及快如闪电的性能。只需在 Cloudflare 仪表板中单击几下,即可轻松快速地颁发新证书,安全地生成私钥等。所有 Cloudflare 定价计划均可购买专用 SSL 证书。了解更多

大规模解决 TLS 漏洞

Cloudflare 工程师每天处理数十亿个 SSL 请求,因此当发现新的安全漏洞时,我们必须赶紧解决。 由于我们采用的安全标准十分严格,许多漏洞并不会影响用户,但我们喜欢解释如何破坏加密。

Padding Oracles 攻击和 CBC 加密套件的衰落

2016 年初,我们发现 Web 客户端对 AEAD 加密的支持在短短六个月内从不到 50% 跃升到超过 70%。了解为什么密码块链接不再被认为是完全安全的。阅读更多

Logjam:最新的 TLS 漏洞介绍

Cloudflare 客户从未受到 Logjam 漏洞的影响,但是我们确实编写了详细的说明来解释其工作原理。阅读更多

建立自己的公钥基础设施

Cloudflare 使用自己的内部证书颁发机构对其数据中心之间的所有流量进行加密。为此,我们构建了自己的开源PKI工具包。阅读更多

Roughtime 协议支持

使用经过身份验证的时间戳记服务,减少 TLS 证书错误,从而帮助提高网络安全性。阅读更多

设置 Cloudflare 很容易

在不到5分钟内建立域名。保持您的托管服务提供商。不需要更改代码。

Cloudflare 定价

Cloudflare 能为每个人的 Internet 应用程序带来益处。
挑选适合您需求的计划。

免费 $ 0 /月每个网站
展开以查看更多信息 隐藏
适用于个人网站、博客以及任何想要探索 Cloudflare 的人。

了解更多

Free Plan 包含以下所有功能:
  • 未计量缓解 DDoS
  • 全局 CDN
  • 共享 SSL 证书
  • 帐户审核日志访问权限
  • 3 个 Page Rule
比较所有功能
Pro $ 20 /月 每个网站
展开以查看更多信息 隐藏
适用于需要基本安全和性能的专业网站、博客和产品组合。

了解更多

Pro Plan 包含 Free Plan 的所有功能,以及:
  • 附带 Cloudflare 规则集的 Web 应用防火墙 (WAF)
  • 使用 Polish™ 优化图像
  • 使用 Mirage™ 进行移动优化
  • I'm Under Attack™ 模式
  • 帐户审核日志访问权限
  • 20 个 Page Rule
比较所有功能
Business $ 200 /月 每个网站
展开以查看更多信息 隐藏
适用于需要高级安全和性能、PCI 合规性和优先电子邮件支持的小型电子商务网站和企业。

了解更多

Business Plan 包含 Pro Plan 中的所有内容,以及:
  • 附带 25 个自定义规则集的 Web 应用防火墙(WAF)
  • 自定义 SSL 证书上传
  • 通过 Modern TLS Only 模式和 WAF 实现 PCI 合规性
  • 绕过 Cookie 上的缓存
  • 使用 Railgun™ 加速动态内容的交付
  • 优先电子邮件支持
  • 帐户审核日志访问权限
  • 50 个页面规则
比较所有功能
Enterprise 联系我们
展开以查看更多信息 隐藏
适用于需要企业级安全和性能、全年全天候的优先电话、电子邮件或聊天支持以及有保证的正常运行时间的公司。

了解更多

Enterprise 计划包含 Business 计划中的所有功能,以及:
  • 全年全天候企业级电话、电子邮件和聊天支持
  • 保证 100% 正常运行时间,25 倍赔偿 SLA
  • 具有网络优先级的企业级 DDoS 保护
  • 高级 Web 应用程序防火墙 (WAF),具有无限自定义规则集
  • 基于多用户角色的帐户访问权限
  • 多个自定义 SSL 证书上传
  • 原始日志访问权限
  • 帐户审核日志访问权限
  • 专门的解决方案和以客户为本的工程师
  • 中国 CDN 数据中心访问权限(另收费)
  • 100 个 Page Rule
比较所有功能

免费

$ 0 /
 
适用于个人网站、博客以及任何想要探索 Cloudflare 的人。

Pro

$ 20 /
每个域名
适用于需要基本安全和性能的专业网站、博客和产品组合。

Business

$ 200 /
每个域名
适用于需要高级安全和性能、PCI 合规性和优先电子邮件支持的小型电子商务网站和企业。

企业

联系我们
 
适用于需要企业级安全和性能、全年全天候的优先电话、电子邮件或聊天支持以及有保证的正常运行时间的公司。

现有客户

超过 2500 多万个互联网资产的信任。

trustedby crunchbase black
trustedby ao com black
trustedby zendesk black
logo sofi gray 32px wrapper
trustedby log me in black
trustedby digital ocean black
trustedby okcupid black
trustedby montecito black
trustedby discord black
trustedby library of congress black
trustedby udacity black
trustedby marketo black

技术细节

支持 Cloudflare SSL Free 用户使用的最低浏览器版本:

桌面浏览器

  • Firefox 2
  • Windows Vista 上的 Internet Explorer 7
  • Windows Vista 或 OS X 10.6,安装: -- Chrome 5.0.342.0 -- Opera 14 -- Safari 4

移动浏览器

  • iOS 4.0 上的 Mobile Safari
  • Android 4.0 (Ice Cream Sandwich)
  • Windows Phone 7

注意:

以上所述的操作系统是所需的最低版本。如果您需要与旧版浏览器(例如 Windows XP SP2 和 Android <3.0)实现更高的兼容性,请在我们的 Pro、Business 或 Enterprise plan 中使用 SSL。如果您还有其他疑问,请参阅我们的常见问答