无密钥 SSL 概述

通过无密钥 SSL 技术,站点可以使用 Cloudflare 的 SSL 服务,同时保留对其私钥的内部保管。 这是由 Cloudflare 的密码学家、系统工程师和网络专家团队开发的一种全新的安全技术。

标准的 Cloudflare SSL 服务要求客户与 Cloudflare 共享其网站的 SSL 密钥。 Cloudflare 采取了广泛的技术措施来保护客户关键信息。 但是,对于某些客户而言,由于存在政策或技术障碍,他们无法与 Cloudflare 共享其网站的 SSL 密钥。 这正是我们推出无密钥 SSL 的原因。

已经是 Cloudflare 客户?登录

为何使用无密钥 SSL?

虽然大多数客户都能接受由 Cloudflare 管理其私钥,但有些客户因为一些独特的安全要求无法做到这一点。 无密钥 SSL 允许用户保留对密钥的控制,同时仍然可以通过 Cloudflare 的全球网络路由加密的流量。

借助无密钥 SSL,组织首次可以在无需共享 SSL 密钥的情况下,使用 Cloudflare 等具有无限可扩展性和无限弹性的解决方案。 公司能够获得云的所有好处(DDoS 攻击缓解、负载平衡、WAN 优化),而无需在加密 Web 流量或将 SSL 私钥提供给第三方云提供商之间做出选择。

无密钥 SSL 的工作方式

注:无密钥 SSL 要求 Cloudflare 解密、检查并重新加密流量,以便传输回客户的源服务器。

通过 Cloudflare 传输的非 SSL 流量共涉及三方:客户端(例如 web 浏览器)、Cloudflare 边缘节点和客户源服务器。

对于启用了无密钥 SSL 的 SSL 流量,创建初始 SSL 会话时会涉及一个额外端点,其后将恢复正常传输。

无密钥 SSL 的工作流程如下:

1a.客户端(例如,web 浏览器)通过 Anycast 路由连接到距离客户最近的 Cloudflare 边缘节点。客户端将以站点公钥加密的密钥发送到边缘服务器。

1b.边缘服务器与密钥服务器联系,使用一个证书验证其身份。边缘服务器将加密的密钥发送到密钥服务器以解密。密钥服务器通过加密隧道返回解密的密钥。2a.客户端和服务器都使用共享密钥来建立安全连接。客户端(例如,web 浏览器)通过 HTTPS 请求 Cloudflare 支持的客户资源。2b.Cloudflare 边缘节点(会话服务器)解密、检查和处理原始请求。

每个会话仅进行一次身份验证步骤;会话中的其他请求不需要对密钥服务器进行额外检查。客户可以将默认 SSL 会话 TTL(生存时间)从 18 小时修改为最短 5 分钟或最长 48 小时。有关无密钥 SSL 的更多详细信息,请参见此博客文章

第三方安全审计

iSEC Partners 与 Matasano Security 以及 NCC Group 的各部门共同审查了 Cloudflare 的无密钥 SSL 加密技术,他们都是应用安全和加密审查领域的全球领导者。

无密钥 SSL 的获取方式

无密钥 SSL 最初仅适用于 Enterprise 计划客户。 有关 Enterprise 计划和无密钥 SSL 的更多信息,请联系我们的销售团队。

设置 Cloudflare 很容易



在不到 5 分钟内建立域名。保留您的托管服务提供商。 不需要更改代码。


深受数百万互联网资产的信赖

Logo mars trusted by gray
Logo loreal trusted by gray
Logo doordash trusted by gray
Logo garmin trusted by gray
Logo ibm trusted by gray
Logo 23andme trusted by gray
Logo shopify trusted by gray
Logo lending tree trusted by gray
Logo labcorp trusted by gray
Logo ncr trusted by gray
Logo thomson reuters trusted by gray
Logo zendesk trusted by gray