
A Cloudflare bejelentette, hogy mostantól kizárólag titkosított, HTTPS-kapcsolatokat fogad az api.cloudflare.com végponton. Az új biztonsági intézkedés célja, hogy megakadályozza a titkosítatlan API-kérések küldését, még véletlenül is, ezzel kiküszöbölve az érzékeny adatok kiszivárgásának kockázatát. A változás értelmében bármilyen HTTP-alapú kapcsolat teljesen elutasításra kerül, azaz a Cloudflare API mostantól nem küld 403 Forbidden válaszüzenetet, hanem egyáltalán nem engedi létrejönni a titkosítatlan kapcsolatot.
„Mától kezdve minden titkosítatlan kapcsolat az api.cloudflare.com címhez teljes mértékben el lesz utasítva.” – olvasható a Cloudflare csütörtöki közleményében.
Miért van erre szükség?
A Cloudflare API lehetővé teszi a fejlesztők és rendszergazdák számára a szolgáltatások automatizálását és kezelését, beleértve a DNS-kezelést, tűzfal-konfigurációt, DDoS-védelmet, gyorsítótárazást, SSL-beállításokat, infrastrukturális telepítést és biztonsági szabályok kezelését. Korábban a Cloudflare mind HTTP, mind HTTPS protokollon keresztül engedélyezte az API-hozzáférést, és vagy átirányította a kéréseket HTTPS-re, vagy visszautasította azokat. Azonban még az elutasított HTTP-kérések is kiszivárogtathattak érzékeny adatokat (például API-kulcsokat vagy hitelesítési tokeneket), mielőtt a szerver válaszolt volna. Az ilyen adatszivárgás különösen veszélyes nyilvános vagy megosztott Wi-Fi hálózatokon, ahol az adathalász és ember a középen (MitM – Man-in-the-Middle) támadások könnyebben kivitelezhetők.
A HTTP-hozzáférés teljes tiltásával a Cloudflare a titkosítatlan kapcsolatok már a hálózati szinten elutasításra kerülnek, mielőtt bármilyen adatforgalom létrejönne.
A változás azonnali hatállyal érinti azokat, akik eddig HTTP-n keresztül használták a Cloudflare API-t. Ennek következtében:
- A HTTP-alapú szkriptek, botok és eszközök nem fognak működni.
- Régebbi rendszerek, IoT-eszközök és automatizált kliensek, amelyek nem támogatják a HTTPS-t, hibát fognak tapasztalni.
- Hibás konfiguráció esetén egyes szolgáltatások elérhetetlenné válhatnak.
A Cloudflare tervezi, hogy még 2025 vége előtt ingyenesen elérhetővé tesz egy olyan opciót, amely lehetővé teszi a HTTP-forgalom biztonságos letiltását az ügyfelek weboldalain is. A Cloudflare adatai szerint a teljes internetforgalom 2,4%-a még mindig HTTP-n zajlik, és ha az automatizált forgalmat is beleszámítjuk, ez az arány közel 17%.
A Cloudflare-felhasználók ellenőrizhetik a saját HTTP és HTTPS forgalmuk arányát a Cloudflare irányítópulton: Analytics & Logs > Traffic Served Over SSL menüpontban. Ez segít felmérni az átállás hatását, mielőtt véglegesen tiltják a HTTP-t a saját környezetükben.
