BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Cloudflareが自動SSL/TLSを導入し、オリジンサーバー接続の安全性と簡素化を図る

Cloudflareが自動SSL/TLSを導入し、オリジンサーバー接続の安全性と簡素化を図る

原文リンク(2024-08-31)

Cloudflareは最近、オリジンサーバーとの通信におけるプロバイダーの暗号化モードを簡素化するために、新しいAutomatic SSL/TLS設定を導入した。この機能は自動設定を提供し、サイトダウンタイムのリスクを負うことなくセキュリティを確保する。

Automatic SSL/TLSは、Cloudflare SSL/TLS Recommenderを利用することで、Cloudflareとオリジンサーバー間の暗号化モードを強化する。このレコメンダーは、異なるSSL/TLS設定でCloudflareから顧客のオリジンへの一連のリクエストを自動的に実行し、バックエンドの通信を現在の設定よりアップグレードできるかどうかを判断する。CloudflareのプロダクトマネージャーであるAlex Krivit氏、CloudflareのソフトウェアリサーチエンジニアであるSuleman Ahmad氏、CloudflareのソフトウェアエンジニアであるJ Evans氏、CloudflareのシステムエンジニアであるYawar Jamal氏が、なぜこの機能が重要なのかを説明する。

証明書がオリジンサーバー上で適切に設定されていることを確認し、オリジンとの通信方法についてCloudflareに通知することは、何かが正しくデプロイまたは設定されていない場合、設定ミスがダウンタイムにつながる可能性があるため、不安を引き起こす可能性がある。

Cloudflareはすでに、顧客がオリジンサーバーとの通信を設定するのに役立つ様々な技術(Authenticated Origin PullsCloudflare Tunnels認証局など)を提供しているが、これらのオプションは依然として、オリジンサーバー上とCloudflare設定内の両方で手動による設定変更を必要とする。

出典:Cloudflareブログ

CloudflareはオリジンサーバーとのSSL/TLS接続に5つのオプションを提供している。Off、Flexible、Full、Full (Strict)、Strictである。Strictモードでは、ブラウザからCloudflareへのすべてのトラフィックは、HTTPであれHTTPSであれ、常にHTTPSでオリジンに接続され、オリジンサーバの証明書が検証される。

Cloudflareは10年前にユニバーサルSSLを導入し、2022年には「Cloudflareからオリジンサーバーへのもっとも安全な接続を自動的に」顧客に提供することを約束したが、一方でオリジンSSLを大規模に設定することの難しさを説明していた。プロバイダーは現在、この機能の展開に予想以上の時間がかかったことを認めている。Krivit、Ahmad、Evans、Jamalはこう付け加える。

オリジン・サーバーのセキュリティ設定と機能はCloudflareの直接の制御範囲外であるため、このように時間をかけることで、セキュリティ強化とシームレスなサイト機能のバランスをとれました。

Cloudflareはクライアントと顧客のオリジンサーバ間の仲介役として機能するため、2つの別々のTLS接続が確立される。1つはユーザーのブラウザとCloudflareネットワークの間、もう1つはCloudflareネットワークとオリジンサーバーの間です。クライアントとCloudflare間の接続を保護するのとは異なり、オリジンサーバーのセキュリティ機能を管理するのはより難しい。Hacker Newsの人気スレッドで、ユーザーのamluto氏がコメントしている。

CloudflareはCloudflare Tunnelsのセキュリティ上の利点について話しています。かなり安全かもしれませんが、Cloudflareのコンフィギュレーション・システムをクリーンアップして、コンフィギュレーションと実際の動作が一致するようにしてほしいです。DNS名からルートへのマッピングを設定することをDNSと呼ぶべきではないですし、絶対にCNAMEのふりをすべきではありません。

他のユーザーは、Zero Trustポータルの使い勝手について議論し、利用可能なオプションの数が増えていることについて懸念を表明している。ユーザーLinuxBenderはこう付け加える。

これは証明書のオリジンに関する人間の操作をループから外すので、Encrypted Client Hello (ECH)があらゆるもので普遍的にサポートされるまで、プライバシーに関するステップを1つ追加するチャンスだと思います。

クラウド・プロバイダーはすでに、SSL/TLS Recommenderが有効になっている顧客に対して、この機能の展開を開始している。残りのFreeとProの顧客は9月16日から登録が開始され、BusinessとEnterpriseの顧客がそれに続く予定だ。

作者について

この記事に星をつける

おすすめ度
スタイル

BT