Cloudflare宣布已關(guān)閉所有HTTP連接，現(xiàn)在僅接受通過(guò)HTTPS加密的安全連接訪問(wèn)api.cloudflare.com。這一舉措旨在防止未加密的API請(qǐng)求被發(fā)送，即使是意外發(fā)送，從而消除敏感信息在明文流量中暴露的風(fēng)險(xiǎn)。

全面禁止未加密連接

Cloudflare在周四的公告中表示：“從今天起，任何未加密的api.cloudflare.com連接都將被完全拒絕?！痹摴具M(jìn)一步解釋道：“開(kāi)發(fā)者不應(yīng)再期望HTTP連接會(huì)收到403 Forbidden響應(yīng)，因?yàn)槲覀儗⑼ㄟ^(guò)完全關(guān)閉HTTP接口來(lái)阻止底層連接的建立。只有安全的HTTPS連接才被允許建立?！?/p>

Cloudflare API幫助開(kāi)發(fā)者和系統(tǒng)管理員自動(dòng)化和管理Cloudflare服務(wù)，包括DNS記錄管理、防火墻配置、DDoS防護(hù)、緩存、SSL設(shè)置、基礎(chǔ)設(shè)施部署、訪問(wèn)分析數(shù)據(jù)以及管理零信任訪問(wèn)和安全策略。

未加密連接的風(fēng)險(xiǎn)

此前，Cloudflare系統(tǒng)允許通過(guò)HTTP（未加密）和HTTPS（加密）訪問(wèn)API，要么重定向HTTP請(qǐng)求，要么直接拒絕。然而，正如公司所解釋的，即使是被拒絕的HTTP請(qǐng)求也可能在服務(wù)器響應(yīng)之前泄露敏感數(shù)據(jù)，如API密鑰或令牌。

被阻止請(qǐng)求中泄露的機(jī)密信息來(lái)源：Cloudflare

這種情況在公共或共享Wi-Fi網(wǎng)絡(luò)中更為危險(xiǎn)，因?yàn)橹虚g人攻擊更容易實(shí)施。通過(guò)完全禁用HTTP端口訪問(wèn)API，Cloudflare在傳輸層阻止了明文連接，從一開(kāi)始就強(qiáng)制使用HTTPS。

影響與后續(xù)措施

這一變更立即影響了所有使用HTTP訪問(wèn)Cloudflare API服務(wù)的用戶。依賴該協(xié)議的腳本、機(jī)器人和工具將無(wú)法正常工作。同樣，不支持HTTPS或未默認(rèn)使用HTTPS的遺留系統(tǒng)、自動(dòng)化客戶端、物聯(lián)網(wǎng)設(shè)備和低級(jí)客戶端也會(huì)受到影響。

對(duì)于在Cloudflare上托管網(wǎng)站的客戶，公司計(jì)劃在今年年底前發(fā)布一個(gè)免費(fèi)選項(xiàng)，以安全的方式禁用HTTP流量。Cloudflare的數(shù)據(jù)顯示，通過(guò)其系統(tǒng)的互聯(lián)網(wǎng)流量中，仍有約2.4%是通過(guò)不安全的HTTP協(xié)議傳輸?shù)?。如果考慮到自動(dòng)化流量，HTTP的比例則躍升至近17%。

客戶可以在儀表板的“Analytics & Logs > Traffic Served Over SSL”下跟蹤HTTP與HTTPS流量，以評(píng)估這一變更對(duì)其環(huán)境的影響。