Keyless SSL 概覽

Keyless SSL 讓網站使用 Cloudflare 的 SSL 服務,並同時可以保持在內部保管他們的私密金鑰。 這是一項全新的安全技術,由 Cloudflare 的加密人員、系統工程師和網路專家組成的團隊開發。

標準的 Cloudflare SSL 服務要求客戶與 Cloudflare 分享他們網站的 SSL 金鑰。 Cloudflare 採取了廣泛的技術手段來保障客戶金鑰的資訊。 不過,有一些客戶面臨政策或是技術障礙而讓他們無法和 Cloudflare 共享其網站 SSL 金鑰。 因此現在我們非常興奮地推出 Keyless SSL。

已經是 Cloudflare 客戶?登入

為何要使用 Keyless SSL

儘管大部分客戶願意讓 Cloudflare 管理他們的私密金鑰,有一些客戶仍然有特別的安全需求,讓此無法實現。 Keyless SSL 讓這類使用者可以保留對金鑰的保管,並同時透過 Cloudflare 的全球網路進行加密流量路由。

透過 Keyless SSL,機構可以首次實現在不必共享 SLL 金鑰的情況下,依舊可以使用例如 Cloudflare 的無限可擴展、極富彈性的解決方案。 企業可以不必再在加密網頁流量或是向第三方雲端提供者提供 SSL 私密金鑰之間做選擇,而同時仍然可以獲得雲端的所有優勢(DDoS 攻擊緩解、負載平衡、WAN 最佳化)。

Keyless SSL 如何運作

注意:無金鑰 SSL 要求 Cloudflare 對傳輸回客戶來源的流量進行解密、檢查和重新加密。

對經過 Cloudflare 的非 SSL 流量,會涉及到以下三方:用戶端(例如,Web 瀏覽器)、Cloudflare 邊緣節點以及客戶原始伺服器。

對於啟用無金鑰 SSL 的 SSL 流量,有另外一個涉及初始 SSL 工作階段建立的額外端點,之後正常的傳輸才會恢復。

對無金鑰 SSL 交易的請求流程如下:

1a.用戶端(例如 Web 瀏覽器)透過 Anycast 路由連線到距離客戶最近的 Cloudflare 邊緣節點。用戶端向邊緣伺服器傳送利用網站公開金鑰加密的密碼。

1b.邊緣伺服器聯絡金鑰伺服器,利用憑證證明其自身真實性。邊緣伺服器將加密的密碼傳送到金鑰伺服器進行解密。金鑰伺服器透過加密通道將解密的密碼傳回。

2a.用戶端和伺服器都使用共用密碼來建立安全的連線。用戶端(例如 Web 瀏覽器)透過 HTTPS 對 Cloudflare 驅動的客戶資源發起請求。

2b.Cloudflare 邊緣節點(工作階段伺服器)解密、檢查並處理原始請求。

驗證步驟在每個工作階段只會發生一次;工作階段內的其他請求不需要再向金鑰伺服器進行額外檢查。客戶可以修改預設的 SSL 工作階段 TTL(存留時間),可從 18 小時降到最低 5 分鐘或是調整到最高 48 小時。

有關無金鑰 SSL 的更多詳細資訊,請參閱此部落格文章

第三方安全稽查

Cloudflare 的 Keyless SSL 加密技術經過了 iSEC Partners 聯合 Matasano Security 以及 NCC 集團的每個成員的審核,他們都是全球應用程式安全和加密技術的專業稽查機構。

如何獲取 Keyless SSL

Keyless SSL 最初只會提供給企業方案(Enterprise 方案)的客戶。 關於企業方案(Enterprise 方案)和 Keyless SSL 的更多資訊,請聯絡我們的銷售團隊。

設定 Cloudflare 輕鬆簡單



在 5 分鐘內建立網域。保留您的代管提供者。無需更改程式碼。


深受數百萬網際網路資產的信賴

Logo mars trusted by gray
Logo loreal trusted by gray
Logo doordash trusted by gray
Logo garmin trusted by gray
Logo ibm trusted by gray
Logo 23andme trusted by gray
Logo shopify trusted by gray
Logo lending tree trusted by gray
Logo labcorp trusted by gray
Logo ncr trusted by gray
Logo thomson reuters trusted by gray
Logo zendesk trusted by gray