Keyless SSL 概覽
Keyless SSL 讓網站使用 Cloudflare 的 SSL 服務,並同時可以保持在內部保管他們的私密金鑰。 這是一項全新的安全技術,由 Cloudflare 的加密人員、系統工程師和網路專家組成的團隊開發。
標準的 Cloudflare SSL 服務要求客戶與 Cloudflare 分享他們網站的 SSL 金鑰。 Cloudflare 採取了廣泛的技術手段來保障客戶金鑰的資訊。 不過,有一些客戶面臨政策或是技術障礙而讓他們無法和 Cloudflare 共享其網站 SSL 金鑰。 因此現在我們非常興奮地推出 Keyless SSL。
已經是 Cloudflare 客戶?登入
為何要使用 Keyless SSL
儘管大部分客戶願意讓 Cloudflare 管理他們的私密金鑰,有一些客戶仍然有特別的安全需求,讓此無法實現。 Keyless SSL 讓這類使用者可以保留對金鑰的保管,並同時透過 Cloudflare 的全球網路進行加密流量路由。
透過 Keyless SSL,機構可以首次實現在不必共享 SLL 金鑰的情況下,依舊可以使用例如 Cloudflare 的無限可擴展、極富彈性的解決方案。 企業可以不必再在加密網頁流量或是向第三方雲端提供者提供 SSL 私密金鑰之間做選擇,而同時仍然可以獲得雲端的所有優勢(DDoS 攻擊緩解、負載平衡、WAN 最佳化)。
Keyless SSL 如何運作
注意:無金鑰 SSL 要求 Cloudflare 對傳輸回客戶來源的流量進行解密、檢查和重新加密。
對經過 Cloudflare 的非 SSL 流量,會涉及到以下三方:用戶端(例如,Web 瀏覽器)、Cloudflare 邊緣節點以及客戶原始伺服器。
對於啟用無金鑰 SSL 的 SSL 流量,有另外一個涉及初始 SSL 工作階段建立的額外端點,之後正常的傳輸才會恢復。
對無金鑰 SSL 交易的請求流程如下:
1a.用戶端(例如 Web 瀏覽器)透過 Anycast 路由連線到距離客戶最近的 Cloudflare 邊緣節點。用戶端向邊緣伺服器傳送利用網站公開金鑰加密的密碼。
1b.邊緣伺服器聯絡金鑰伺服器,利用憑證證明其自身真實性。邊緣伺服器將加密的密碼傳送到金鑰伺服器進行解密。金鑰伺服器透過加密通道將解密的密碼傳回。
2a.用戶端和伺服器都使用共用密碼來建立安全的連線。用戶端(例如 Web 瀏覽器)透過 HTTPS 對 Cloudflare 驅動的客戶資源發起請求。
2b.Cloudflare 邊緣節點(工作階段伺服器)解密、檢查並處理原始請求。
有關無金鑰 SSL 的更多詳細資訊,請參閱此部落格文章。
設定 Cloudflare 輕鬆簡單
在 5 分鐘內建立網域。保留您的代管提供者。無需更改程式碼。
深受數百萬網際網路資產的信賴
