虽然大多数客户都能接受由 Cloudflare 管理其私钥,但有些客户因为一些独特的安全要求无法做到这一点。 无密钥 SSL 允许用户保留对密钥的控制,同时仍然可以通过 Cloudflare 的全球网络路由加密的流量。
借助无密钥 SSL,组织首次可以在无需共享 SSL 密钥的情况下,使用 Cloudflare 等具有无限可扩展性和无限弹性的解决方案。 公司能够获得云的所有好处(DDoS 攻击缓解、负载平衡、WAN 优化),而无需在加密 Web 流量或将 SSL 私钥提供给第三方云提供商之间做出选择。
注:无密钥 SSL 要求 Cloudflare 解密、检查并重新加密流量,以便传输回客户的源服务器。
通过 Cloudflare 传输的非 SSL 流量共涉及三方:客户端(例如 web 浏览器)、Cloudflare 边缘节点和客户源服务器。
对于启用了无密钥 SSL 的 SSL 流量,创建初始 SSL 会话时会涉及一个额外端点,其后将恢复正常传输。
无密钥 SSL 的工作流程如下:
1a.客户端(例如,web 浏览器)通过 Anycast 路由连接到距离客户最近的 Cloudflare 边缘节点。客户端将以站点公钥加密的密钥发送到边缘服务器。
1b.边缘服务器与密钥服务器联系,使用一个证书验证其身份。边缘服务器将加密的密钥发送到密钥服务器以解密。密钥服务器通过加密隧道返回解密的密钥。2a.客户端和服务器都使用共享密钥来建立安全连接。客户端(例如,web 浏览器)通过 HTTPS 请求 Cloudflare 支持的客户资源。2b.Cloudflare 边缘节点(会话服务器)解密、检查和处理原始请求。
每个会话仅进行一次身份验证步骤;会话中的其他请求不需要对密钥服务器进行额外检查。客户可以将默认 SSL 会话 TTL(生存时间)从 18 小时修改为最短 5 分钟或最长 48 小时。有关无密钥 SSL 的更多详细信息,请参见此博客文章。
iSEC Partners 与 Matasano Security 以及 NCC Group 的各部门共同审查了 Cloudflare 的无密钥 SSL 加密技术,他们都是应用安全和加密审查领域的全球领导者。
无密钥 SSL 最初仅适用于 Enterprise 计划客户。 有关 Enterprise 计划和无密钥 SSL 的更多信息,请联系我们的销售团队。
在不到 5 分钟内建立域名。保留您的托管服务提供商。 不需要更改代码。