17/09/2018, 20:18

CloudFlare triển khai Universal SSL cho tất cả khách hàng

Bắt đầu từ hôm nay, CloudFlare cung cấp cho tất cả các khách hàng của mình kể cả những người đăng ký phiên bản miễn phí các dịch vụ, chứng nhận SSL mà không cần chi phí bổ sung. Hoạt động này là một phần của việc triển khai dịch vụ miễn phí mới, được gọi là Universal SSL. Đúng như tên gọi, ...

Bắt đầu từ hôm nay, CloudFlare cung cấp cho tất cả các khách hàng của mình kể cả những người đăng ký phiên bản miễn phí các dịch vụ, chứng nhận SSL mà không cần chi phí bổ sung.

Tất cả khách hàng của CloudFlare được hưởng lợi từ Universal SSL

Hoạt động này là một phần của việc triển khai dịch vụ miễn phí mới, được gọi là Universal SSL. Đúng như tên gọi, nó được thiết kế để cung cấp lợi ích của một kết nối được mã hóa giữa máy con và máy chủ web.

Dự kiến ​​quá trình hoàn tất cho tất cả các khách hàng hiện tại vào cuối ngày. Khách hàng mới cũng được hưởng lợi từ tính năng này, vốn có sẵn đối với trường hợp khách hàng trả tiền, trong trường hợp dịch vụ miễn phí cần thời gian 24 tiếng để kích hoạt.

SSL không có sẵn cho lưu lượng truy cập đến nguồn gốc

Đối với tất cả khách hàng, CloudFlare hiện đã tự động cung cấp một chứng chỉ SSL trên mạng CloudFlare chấp nhận kết nối HTTPS cho tên miền và tên miền phụ của khách hàng. Những chứng chỉ này bao gồm một cổng vào cho tên miền gốc (ví dụ example.com) cũng như cổng vào chứng thư số wilfcard cho tất cả các tên miền phụ cấp 1 (ví dụ, www.example.com, blog.example.com, vv).

Với các trang web trước đây không sử dụng SSL, lưu lượng truy cập từ trình duyệt tới CloudFlare sẽ được tự động mã hóa, nhưng máy chủ của web sẽ không được bảo vệ; đối với các trang web có SSL được kích hoạt trên máy chủ web, tất cả các lưu lượng truy cập (từ người truy cập tới CloudFlare và tới gốc) sẽ được mã hóa.

Lựa chọn ECDSA để tăng cường hiệu suất và an ninh

Để thiết lập Universal SSL, công ty đã phải vượt qua những thách thức kỹ thuật để các nguồn lực không bị lãng phí.

Triển khai quy mô lớn như vậy là hợp lý, vì mã hóa được dùng có thể ảnh hưởng đến CPU. Như vậy, bộ mật mã ECDSA (Elliptic Curve Digital Signature Algorithm) được lựa chọn cho việc này vì nó ít có tác động đến hệ thống so với thuật toán mã hóa truyền thống.

Ngoài việc vượt qua những vấn đề kỹ thuật với việc chọn lựa ECDSA, bộ mã hóa cũng mang lại lợi ích hiệu suất (một kết nối SSL kết thúc nhanh hơn) và an ninh được tăng cường nhờ hỗ trợ của Perfect Forward Secrecy (PFS); đây là một tính năng trong mật mã khóa công khai được thiết kế để đảm bảo an ninh cho mỗi phiên giao tiếp bằng cách tạo ra các các khóa mới từ một khóa công khai.

Một thách thức khác là kết thúc IPv4 vì việc thiết lập SSL ban đầu mã hóa các host header và do vậy, chỉ có một chứng nhận cho mỗi địa chỉ IP được cung cấp. Công ty không thể gán một địa chỉ duy nhất cho mỗi khách hàng của mình vì số lượng các IP là có hạn.

Vượt qua những khó khăn này là thách thức lớn đối với khách hàng tự do, những người phải đáp ứng một số tiêu chuẩn để được hưởng lợi miễn phí từ Universal SSL. Một trình duyệt hiện đại (ra đời được sáu năm) được yêu cầu nhằm hỗ trợ ECDSA và SNI (Server Name Indication – Chỉ định tên máy chủ), một phần mở rộng trong giao thức SSL cho phép thay đổi chứng nhận khác nhau cho một địa chỉ IP.

Bằng cách chạy Universal SSL cho các trang web của khách hàng, CloudFlare làm tăng đáng kể số lượng các trang web cung cấp kết nối an toàn.

Hôm qua, đã có khoảng 2 triệu trang web đang hoạt động trên Internet hỗ trợ các kết nối được mã hóa.

Softpedia

0