Keyless SSL 概覽
Keyless SSL 讓網站使用 Cloudflare 的 SSL 服務,並同時可以保持在內部保管他們的私密金鑰。 這是一項全新的安全技術,由 Cloudflare 的加密人員、系統工程師和網路專家組成的團隊開發。
標準的 Cloudflare SSL 服務要求客戶與 Cloudflare 分享他們網站的 SSL 金鑰。 Cloudflare 採取了廣泛的技術手段來保障客戶金鑰的資訊。 不過,有一些客戶面臨政策或是技術障礙而讓他們無法和 Cloudflare 共享其網站 SSL 金鑰。 因此現在我們非常興奮地推出 Keyless SSL。
已經是 Cloudflare 客戶?登入
為何要使用 Keyless SSL
儘管大部分客戶願意讓 Cloudflare 管理他們的私密金鑰,有一些客戶仍然有特別的安全需求,讓此無法實現。 Keyless SSL 讓這類使用者可以保留對金鑰的保管,並同時透過 Cloudflare 的全球網路進行加密流量路由。
透過 Keyless SSL,機構可以首次實現在不必共享 SLL 金鑰的情況下,依舊可以使用例如 Cloudflare 的無限可擴展、極富彈性的解決方案。 企業可以不必再在加密網頁流量或是共享他們的 SSL 私密金鑰給第三方雲端提供者之間做選擇,而同時仍然可以獲得雲端運算的所有優勢(DDoS 攻擊緩解、負載平衡、WAN 最佳化)。
Keyless SSL 如何運作
注意:Keyless SSL 要求 Cloudflare 對轉移回客戶來源的流量進行解密、檢查並重新加密。
對經過 Cloudflare 的非 SSL 流量,會涉及到以下三方:用戶端(例如,網頁瀏覽器),Cloudflare 邊緣節點以及客戶來源伺服器。
對於啟用 Keyless SSL 的 SSL 流量,有另外一個涉及初始 SSL 工作階段建立的終端,之後正常的傳輸才會恢復。###對 Keyless SSL 交易的請求流程如下:
對 Keyless SSL 交易的請求流程如下:
1a. 用戶端(例如網頁瀏覽器)連接到 Cloudflare 透過 Anycast 路由而距離客戶最近的邊緣節點。終端向邊緣伺服器發送利用網站公開金鑰加密的隱私內容。1b.邊緣伺服器聯絡金鑰伺服器,利用憑證證明其自身真實性。邊緣伺服器將加密的內容發送到金鑰伺服器進行解密。金鑰伺服器透過加密通道將解密的內容送回。2a.用戶端和伺服器共同使用共享的秘密內容建立其安全的連線。用戶端(例如網頁瀏覽器)透過 HTTPS 發送有關 Cloudflare 驅動的客戶資源請求。2b.Cloudflare 邊緣節點(工作階段伺服器)解密,檢查並處理起始請求。真實性驗證步驟在每個工作階段只會發生一次;在一個工作階段的額外請求不需要再向金鑰伺服器進行檢查。客戶可以修改預設的 SSL 工作階段 TTL(存留時間),可從 18 小時降到最低 5 分鐘或是調整到最高 48 小時。有關 Keyless SSL 的更多詳細資訊,請參見此部落格文章。
第三方安全稽查
Cloudflare 的 Keyless SSL 加密技術經過了 iSEC Partners 聯合 Matasano Security 以及 NCC 集團的每個成員的審核,他們都是全球應用程式安全和加密技術的專業稽查機構。
如何獲取 Keyless SSL
Keyless SSL 最初只會提供給企業方案(Enterprise Plan)的客戶。 關於企業方案(Enterprise Plan)和 Keyless SSL 的更多資訊,請聯絡我們的銷售團隊。
設定 Cloudflare 輕鬆簡單
在 5 分鐘內建立網域。保留您的代管提供者。無需更改程式碼。
Cloudflare 定價
每個人的網際網路應用程式都能透過使用 Cloudflare 來獲益。
挑選一個符合您需求的方案。
