Cloudflare 推出自动 SSL/TLS 设置，简化与源服务器的加密通信

Cloudflare 最近推出了新的自动 SSL/TLS 设置，旨在简化与源服务器之间的加密通信模式。该功能通过自动配置，确保安全性，同时避免网站停机风险。

功能特点

• 自动配置：通过 Cloudflare SSL/TLS Recommender 自动执行一系列请求，测试不同 SSL/TLS 设置，以确定是否可以升级后端通信配置。
• 增强安全性：确保源服务器证书配置正确，并优化 Cloudflare 与源服务器之间的通信方式。
• 避免手动操作：尽管 Cloudflare 已提供多种技术（如 Authenticated Origin Pulls、Cloudflare Tunnels 和 证书颁发机构），但这些仍需要手动配置。自动 SSL/TLS 设置减少了这一复杂性。

SSL/TLS 连接模式

Cloudflare 提供五种 SSL/TLS 连接模式：

1. Off：关闭加密。
2. Flexible：浏览器到 Cloudflare 加密，Cloudflare 到源服务器不加密。
3. Full：浏览器到 Cloudflare 和 Cloudflare 到源服务器都加密，但不验证源服务器证书。
4. Full (Strict)：浏览器到 Cloudflare 和 Cloudflare 到源服务器都加密，并验证源服务器证书。
5. Strict：所有流量（HTTP 或 HTTPS）都通过 HTTPS 连接到源服务器，并验证源服务器证书。

背景与挑战

• Cloudflare 早在十年前推出了 Universal SSL，并在 2022 年承诺提供“从 Cloudflare 到源服务器的最安全连接”。
• 由于源服务器的安全配置和能力不在 Cloudflare 的直接控制范围内，推出此功能的时间比预期更长。
• Cloudflare 作为客户端和源服务器之间的中介，分别建立了两条 TLS 连接：一条在用户浏览器和 Cloudflare 之间，另一条在 Cloudflare 和源服务器之间。

用户反馈与讨论

• 在 Hacker News 的讨论中，用户对 Cloudflare Tunnels 的安全性表示认可，但也呼吁简化配置系统，使其与实际行为一致。
• 用户还讨论了 Zero Trust 门户 的可用性，并对越来越多的选项表示担忧。
• 有用户建议在 Encrypted Client Hello (ECH) 全面支持之前，增加额外的隐私保护步骤。

部署计划

• Cloudflare 已开始向启用 SSL/TLS Recommender 的客户推出该功能。
• 免费和 Pro 客户计划从 9 月 16 日开始逐步启用，随后是 Business 和 Enterprise 客户。

总结

Cloudflare 的自动 SSL/TLS 设置通过自动配置和优化加密模式，简化了与源服务器的通信，同时增强了安全性。尽管推出时间较长，但这一功能在确保网站正常运行的同时，为用户提供了更安全的连接体验。