Cloudflare 宣布已关闭所有 HTTP 连接,现在仅接受通过 HTTPS 加密的安全连接访问 api.cloudflare.com。这一举措旨在防止未加密的 API 请求被发送,即使是意外发送,从而消除敏感信息在明文流量中暴露的风险。
全面禁止未加密连接
Cloudflare 在周四的公告中表示:“从今天起,任何未加密的 api.cloudflare.com 连接都将被完全拒绝。”该公司进一步解释道:“开发者不应再期望 HTTP 连接会收到 403 Forbidden 响应,因为我们将通过完全关闭 HTTP 接口来阻止底层连接的建立。只有安全的 HTTPS 连接才被允许建立。”
Cloudflare API 帮助开发者和系统管理员自动化和管理 Cloudflare 服务,包括 DNS 记录管理、防火墙配置、DDoS 防护、缓存、SSL 设置、基础设施部署、访问分析数据以及管理零信任访问和安全策略。
未加密连接的风险
此前,Cloudflare 系统允许通过 HTTP(未加密)和 HTTPS(加密)访问 API,要么重定向 HTTP 请求,要么直接拒绝。然而,正如公司所解释的,即使是被拒绝的 HTTP 请求也可能在服务器响应之前泄露敏感数据,如 API 密钥或令牌。
被阻止请求中泄露的机密信息来源:Cloudflare
这种情况在公共或共享 Wi-Fi 网络中更为危险,因为中间人攻击更容易实施。通过完全禁用 HTTP 端口访问 API,Cloudflare 在传输层阻止了明文连接,从一开始就强制使用 HTTPS。
影响与后续措施
这一变更立即影响了所有使用 HTTP 访问 Cloudflare API 服务的用户。依赖该协议的脚本、机器人和工具将无法正常工作。同样,不支持 HTTPS 或未默认使用 HTTPS 的遗留系统、自动化客户端、物联网设备和低级客户端也会受到影响。
对于在 Cloudflare 上托管网站的客户,公司计划在今年年底前发布一个免费选项,以安全的方式禁用 HTTP 流量。Cloudflare 的数据显示,通过其系统的互联网流量中,仍有约 2.4% 是通过不安全的 HTTP 协议传输的。如果考虑到自动化流量,HTTP 的比例则跃升至近 17%。
客户可以在仪表板的“Analytics & Logs > Traffic Served Over SSL”下跟踪 HTTP 与 HTTPS 流量,以评估这一变更对其环境的影响。
参考来源:
Cloudflare now blocks all unencrypted traffic to its API endpoints
