Cloudflare 免費 SSL/TLS

加密盡可能多的 Web 流量以防止資料竊盜及其他竄改,是建立更安全、更佳網際網路的一個重要環節。 作為第一家免費提供 SSL 保護的網際網路效能和安全性公司,我們倍感自豪。

cloudflare security illustration

什麼是 SSL

什麼是 SSL?

SSL(安全通訊端層)是用於在 Web 伺服器和瀏覽器之間建立加密連結的標準安全技術。 此安全連結可確保傳輸的所有資料保持私密。 它也称为TLS(传输层安全性)。 數以百萬計的網站每天都使用 SSL 加密來保護連線,並保護客戶資料免受監控和篡改

為什麼要使用 SSL?

網際網路上的每個網站都應透過 HTTPS 提供服務。 原因如下:

  • 效能 :先進的 SSL 實際上可以縮短頁面加載時間。
  • 搜索排名提升 :搜索引擎青睞 HTTPS 網站。
  • 安全性 :使用 SSL 加密流量可確保任何人都無法窺探使用者的資料。
  • 信任 :透過在瀏覽器的地址欄中顯示綠色鎖,SSL 可以增加訪客的信任度。任。
  • 合規性 :SSL 是 PCI 合規性的關鍵組成部分。

SSL 設定簡單

手動設定 SSL 需要幾個步驟,錯誤設定可能會阻止使用者造訪您的網站。 Cloudflare 允許任何網際網路資產透過按一下按鈕啟用 HTTPS。 當您使用 Cloudflare SSL 時,永遠無須擔心 SSL 憑證過期或隨時要更新 SSL 漏洞。

手動配置 SSL

manually-configuring-ssl

使用 Cloudflare 配置 SSL

configuring-ssl-with-cloudflare

SSL 效能

HTTPS 不像以前那樣。 它比以往更快、更安全、被更多網站所使用。 SSL 支援 HTTP / 2,它有可能使網站速度提高兩倍而不改變現有程式碼基底。 先進的 TLS 還包括面向效能的功能,如工作階段恢復、OCSP裝訂和使用較小金鑰的橢圓曲線加密(從而實現更快的握手)。 TLS 1.3 進一步降低了延遲並消除了 TLS 的不安全功能,使得 HTTPS 比任何先前版本的 TLS 及其非安全對等物 HTTP 更安全和更高效。

Cloudflare 甚至致力於提高 OpenSSL 的效能。 我們實施了ChaCha20-Poly1305,這是一個密碼套件,執行速度比行動裝置上的 AES-128-GCM 快三倍。 我們注重效能。

Cloudflare SSL 設定

運作模式

Cloudflare SSL 以不同的模式運作,具體取決於所需的安全性級別和您願意執行的設定工作量。 最終使用者的流量將始終加密,這意味著您的網站將始終享受 HTTPS 帶來的好處。 然而,在 Cloudflare 和您來源伺服器之間的流量可以用許多方法來設定。

靈活的 SSL

靈活的 SSL 會加密從 Cloudflare 到您網站使用者的流量,但不會加密從 Cloudflare 到您來源伺服器的流量。 這是啟用 HTTPS 的最簡單方法,因為它不需要在您的來源上安裝 SSL 憑證。 雖然不像其他選項那樣安全,但靈活的 SSL 可保護您的訪客,免受大規模的威脅,包含公用 WiFi 窺探和透過 HTTP 進行廣告資料隱碼攻擊。

flexible-ssl

完整的 SSL

完整的 SSL 模式提供從最終使用者到 Cloudflare 以及從 Cloudflare 到原始伺服器的加密。 這需要原始伺服器上的 SSL 憑證。 在完整的 SSL 模式下,在伺服器上安裝憑證有三個選項:一個由憑證頒發機構(嚴格)頒發,一個由 CloudFlare (Origin CA) 頒發,或者一個自簽章憑證。 建議您使用透過 Cloudflare Origin CA 取得的憑證。

full-ssl-strict

來源 CA

Origin CA 使用由 Cloudflare 而非憑證機構所頒發的 SSL 憑證。 這減少了在原始伺服器上設定 SSL 的大部分摩擦,同時仍保護從來源到 Cloudflare 的流量。 您可以直接在 Cloudflare 儀表板中產生簽章憑證,而無需透過 CA 簽署憑證。

進階設定選項

自訂憑證

Cloudflare自動提供由多個客戶網域共用的 SSL 憑證。 商業方案和企業方案客戶可以選擇上載將提供給最終使用者的自訂專用 SSL 憑證。 這樣,可使用延伸驗證 (EV) 和組織驗證 (OV) 的憑證。

Modern TLS Only

TLS 1.2 或 1.3 須遵守 PCI 3.2 合規性,因為這兩者是 TLS 和 SSL 早期版本中已知的漏洞。 Cloudflare 提供「Modern TLS Only」(僅可使用最新 TLS) 選項,強制所有來自您網站的 HTTPS 流量均必須透過 TLS 1.2 或 1.3 來處理。

Opportunistic Encryption

Opportunistic Encryption 提供僅限 HTTP 的網域,由於混合內容或其他遺留問題,無法升級到 HTTPS,僅在使用 TLS 時具有加密和網頁最佳化功能的優勢,且不會變更任何一行程式碼。

TLS 客戶端驗證

Cloudflare 的相互驗證 (TLS 客戶端驗證) 在客戶端 (像是 IoT 裝置或行動裝置 App) 及其來源之間建立一個安全連線。 在用戶端嘗試與其原始伺服器建立連接時,Cloudflare 會驗證裝置的憑證以檢查其是否具有對端點的授權存取權限。 如果裝置具有有效的用戶端憑證,就像擁有進入建築物的正確鑰匙,則裝置能夠建立安全連接。 如果裝置的憑證遺失、過期或無效,則會撤銷連接,Cloudflare 會傳回 403 錯誤。

HSTS

支援 HTTP 強制安全傳輸 (HSTS) 通訊協定是更好地保護您的網站、API 或行動應用程式的最簡單方法之一。 HSTS 是 HTTP 通訊協定的擴充,它強制用戶端為原始伺服器的每個請求使用安全連接。 Cloudflare 提供 HSTS 支援,只需按一下按鈕。

Automatic HTTPS Rewrites

Automatic HTTPS Rewrites 安全地消除了混合內容問題,同時提升效能和安全性,透過從已知 (安全) 主機主動重寫不安全的 URL 到其安全對應目標來實現這一點。 透過強制實施安全連線,Automatic HTTPS Rewrites 使您能夠享受僅透過 HTTPS 提供的最新安全標準和網頁最佳化功能的好處。

加密伺服器名稱指示 (SNI)

在 TLS 與「encrypted_server_name」交涉期間,加密後的 SNI 將取代 ClientHello 訊息內使用的純文字「server_name」延伸功能。 TLS 1.3 擴大此功能,藉由隱藏來自訪客和網站間的中繼目的地主機名稱,提升使用者隱私權。

地域密鑰管理器

Geo Key Manager 讓使用者能選擇哪一個 Cloudflare 資料中心可以存取私密金鑰以建立 HTTPS 連線。 Cloudflare 具有預先設定的選項,可從美國或歐盟資料中心以及 Cloudflare 網路中最高安全性資料中心中進行選擇。 無法存取私密金鑰的資料中心仍然可以終止 TLS,但在聯絡儲存私密金鑰的最近的 Cloudflare 資料中心時,它們會遇到輕微的初始延遲。

專用 SSL 憑證

專用 SSL 憑證透過我們的全球內容發佈網路提供高階加密和相容性,以及閃電般快速的效能。只需在 Cloudflare 儀表板中點按幾下,您就可以輕鬆快速地發佈新憑證、安全地產生私密金鑰等。所有 Cloudflare 定價方案均可購買專用 SSL 憑證。瞭解更多

大規模處理 TLS 漏洞

CloudFlare 工程師每天處理數十億個 SSL 請求,因此當發現新的安全性漏洞時,我們必須快速採取行動。 由於我們嚴格的安全標準,許多漏洞不會影響使用者,但我們喜歡解釋加密是如何破壞的。

Padding Oracle 和 CBC Cipher Suites 的衰落

在 2016 年初,我們看到網路用戶端對 AEAD 密碼的支援在短短六個月內從 50% 以下增加到 70% 以上。了解為什麼密碼塊鏈接不再被認為是完全安全的。閱讀更多

Logjam:最新 TLS 漏洞說明

Cloudflare 客戶從未受 Logjam 漏洞影響,但我們的確建立了詳細的報告,說明這一切如何運作。閱讀更多

構建您自己的公開金鑰基礎結構

Cloudflare 使用自己的內部憑證授權機構,對其資料中心之間的所有流量進行加密。為此,我們構建了自己的開源 PKI 工具包。閱讀更多

Roughtime 通訊協定支援

透過使用已驗證的時間戳記服務來降低 TLS 憑證錯誤,協助網路變得更安全。閱讀更多

設定 Cloudflare 輕鬆簡單

在 5 分鐘內建立網域。保留您的代管提供者。無需更改程式碼。

Cloudflare 定價

每個人的網際網路應用程式都能透過使用 Cloudflare 來獲益。
挑選一個符合您需求的方案。

免費 $ 0 /月每個網站
展開以瞭解更多 收起
針對個人網站、部落格以及任何想要探索 Cloudflare 的人。

瞭解更多

免費方案包含所有以下這些功能:
  • DDoS 的非計量緩解
  • 全球 CDN
  • 共用 SSL 憑證
  • 存取帳戶稽核記錄
  • 3 個 Page Rule
比較所有功能
專業方案 $ 20 /月 每個網站
展開以瞭解更多 收起
針對需要基本安全性和效能的專業網站、部落格和產品組合。

瞭解更多

專業方案包含免費方案中的所有功能,及:
  • Web application firewall (WAF) 與 Cloudflare 規則集
  • 透過 Polish™ 進行影像最佳化
  • 透過 Mirage™ 進行行動裝置最佳化
  • I'm Under Attack™ 模式
  • 存取帳戶稽核記錄
  • 20 個 Page Rule
比較所有功能
商業方案 $ 200 /月 每個網站
展開以瞭解更多 收起
適用於需要進階安全性和效能、PCI 合規性和優先電子郵件支援的小型電子商務網站和企業。

瞭解更多

專業方案中的所有功能,及:
  • Web application firewall (WAF) 與 25 個自訂規則集
  • 自訂 SSL 憑證上傳
  • 借助 Modern TLS Only 模式和 WAF 實現 PCI 合規性
  • 繞過 Cookie 上的快取
  • 透過 Railgun™ 進行加速動態內容的傳遞
  • 優先電子郵件支援
  • 存取帳戶稽核記錄
  • 50 個 Page Rule
比較所有功能
企業 聯絡我們
展開以瞭解更多 收起
對於需要企業級安全性和效能的公司,優先每天 24 小時、全年無休企業級電話、線上對談與電子郵件支援,並保證正常運作時間。

瞭解更多

企業方案包含商業方案中的所有功能,以及:
  • 每天 24 小時、全年無休企業級電話、線上對談與電子郵件支援
  • 100% 正常運作時間保證及 25 倍報銷 SLA
  • 具有網路優先級的企業級 DDoS 保護
  • 進階 Web Application Firewall (WAF) 與數目不限的自訂規則集
  • 多重使用者角色型帳戶存取
  • 多個自訂 SSL 憑證上傳
  • 存取 Raw Log。
  • 存取帳戶稽核記錄
  • 專用的 Customer Success 與解決方案工程師
  • 存取 CDN 的資料中心 (額外費用)
  • 100 個 Page Rule
比較所有功能

免費方案

$ 0 /
 
針對個人網站、部落格以及任何想要探索 Cloudflare 的人。

專業方案

$ 20 /
每個網域
針對需要基本安全性和效能的專業網站、部落格和產品組合。

商業方案

$ 200 /
每個網域
適用於需要進階安全性和效能、PCI 合規性和優先電子郵件支援的小型電子商務網站和企業。

企業方案

與我們聯絡
 
對於需要企業級安全性和效能的公司,優先每天 24 小時、全年無休企業級電話、線上對談與電子郵件支援,並保證正常運作時間

受以下客戶信賴

超過 2700 百萬個網際網路設備

trustedby crunchbase black
trustedby ao com black
trustedby zendesk black
logo sofi gray 32px wrapper
trustedby log me in black
trustedby digital ocean black
trustedby okcupid black
trustedby montecito black
trustedby discord black
trustedby library of congress black
trustedby udacity black
trustedby marketo black

技術詳細資料

針對 Cloudflare SSL 免費版本使用者的最低支援瀏覽器版本:

桌上型電腦瀏覽器

  • Firefox 2
  • Windows Vista 提供的 Internet Explorer 7
  • Windows Vista 或 OS X 10.6,安裝: -- Chrome 5.0.342.0 -- Opera 14 -- Safari 4

行動裝置瀏覽器

  • 位於 iOS 4.0 上的行動裝置 Safari
  • Android 4.0 (Ice Cream Sandwich)
  • Windows Phone 7

注意:

以上所述的作業系統是所需的最低版本。如果您需要與舊版瀏覽器(如 Windows XP SP2 和 Android <3.0)更相容,請在我們的專業版、商業版或企業版方案中使用 SSL。如果您還有其他疑問,請參閱我們的常見問答