cloudflare为互联网提供了一份礼物免费、轻松的“通用”SSL

admin 2018-06-18

为了通过使用安全连接来保护更多的互联网网站,位于旧金山的内容交付网络和互联网安全提供商Cloudflare为付费和免费客户推出了一项新的免费服务:任何网站的自动安全套接字层( SSL )加密,而无需支付或配置加密证书。

称为通用SSL,该服务消除了组织处理证书颁发机构或配置自己的服务器加密的需要。相反,如果网站通过Cloudflare连接,其所有者可以在5分钟内通过Web界面设置证书,并在24小时内自动部署——为网站流量提供基于椭圆曲线数字签名算法( ECDSA )的交易层安全( TLS )加密。Cloudflare安全工程负责人尼克·沙利文在一份新闻稿中说:“作为通用SSL的一部分,密码系统正在推出,比甚至顶级互联网巨头所使用的还要早一代人。这些证书使用椭圆曲线数字签名算法( ECDSA )密钥,确保与Cloudflare站点的所有连接都具有完美的前向保密性,并使用ECDSA和高度安全的SHA - 256散列函数进行签名。这是大多数web管理员实际上无法购买的加密安全级别。“

根据Cloudflare CEO马修·普林斯的说法,通过开启这项服务,该公司将使受SSL保护的互联网网站数量增加近一倍。“昨天大约有200万个支持SSL的网站在网上活动,”他说。“到今天结束时,Cloudflare将向另外200万人推出免费SSL。“

SSL的复杂性一直是许多网站运营商采用SSL的主要障碍,但并不是唯一的障碍。依赖广告获取收入的站点(例如Ars )由于这些操作没有采用SSL以及由此产生的对呈现未加密内容和推荐数据的要求而受到阻碍。过去,SSL对于使用内容缓存的站点也是一个问题,尽管对于Cloudflare前端的站点来说,这不是问题。

另一个潜在的障碍是Cloudflare的SSL技术没有得到普遍支持。它依赖于服务器名称标识( SNI ),这是TLS加密标准的扩展。80 %左右的现有web浏览器支持SNI。Prince在发布通用SSL的博客文章中说:“我们还计划利用通过IPv6连接到不支持SNI的浏览器,从而稍微扩展受支持浏览器的范围。大约16 %连接到Cloudflare的唯一IP地址是通过IPv6连接的(注意:在连接到我们网络的任何IPv6地址中,计算仅将前8个字节视为唯一)。由于IPv6地址实际上是无限的,我们没有IP v4的限制,因此可以为每个IPv6地址返回唯一的证书。

通用SSL紧随另一项新服务Cloudflare之后,Cloudflare为那些已经拥有企业证书并严密保护他们:无密钥SSL,这是一种直通加密服务,允许公司利用Cloudflare的反分布式拒绝服务攻击功能,而无需在Cloudflare数据中心托管加密证书。虽然这项服务针对的是大企业,但通用SSL几乎可以应用于任何网站,这也可能降低恶意网站使用SSL的门槛。


点赞: