Cloudflare宣布已關(guān)閉所有HTTP連接，現(xiàn)在僅接受通過HTTPS加密的安全連接訪問api.cloudflare.com。這一舉措旨在防止未加密的API請求被發(fā)送，即使是意外發(fā)送，從而消除敏感信息在明文流量中暴露的風(fēng)險。

全面禁止未加密連接

Cloudflare在周四的公告中表示：“從今天起，任何未加密的api.cloudflare.com連接都將被完全拒絕?！痹摴具M(jìn)一步解釋道：“開發(fā)者不應(yīng)再期望HTTP連接會收到403 Forbidden響應(yīng)，因為我們將通過完全關(guān)閉HTTP接口來阻止底層連接的建立。只有安全的HTTPS連接才被允許建立?！?/p>

Cloudflare API幫助開發(fā)者和系統(tǒng)管理員自動化和管理Cloudflare服務(wù)，包括DNS記錄管理、防火墻配置、DDoS防護(hù)、緩存、SSL設(shè)置、基礎(chǔ)設(shè)施部署、訪問分析數(shù)據(jù)以及管理零信任訪問和安全策略。

未加密連接的風(fēng)險

此前，Cloudflare系統(tǒng)允許通過HTTP（未加密）和HTTPS（加密）訪問API，要么重定向HTTP請求，要么直接拒絕。然而，正如公司所解釋的，即使是被拒絕的HTTP請求也可能在服務(wù)器響應(yīng)之前泄露敏感數(shù)據(jù)，如API密鑰或令牌。

被阻止請求中泄露的機(jī)密信息來源：Cloudflare

這種情況在公共或共享Wi-Fi網(wǎng)絡(luò)中更為危險，因為中間人攻擊更容易實施。通過完全禁用HTTP端口訪問API，Cloudflare在傳輸層阻止了明文連接，從一開始就強(qiáng)制使用HTTPS。

影響與后續(xù)措施

這一變更立即影響了所有使用HTTP訪問Cloudflare API服務(wù)的用戶。依賴該協(xié)議的腳本、機(jī)器人和工具將無法正常工作。同樣，不支持HTTPS或未默認(rèn)使用HTTPS的遺留系統(tǒng)、自動化客戶端、物聯(lián)網(wǎng)設(shè)備和低級客戶端也會受到影響。

對于在Cloudflare上托管網(wǎng)站的客戶，公司計劃在今年年底前發(fā)布一個免費選項，以安全的方式禁用HTTP流量。Cloudflare的數(shù)據(jù)顯示，通過其系統(tǒng)的互聯(lián)網(wǎng)流量中，仍有約2.4%是通過不安全的HTTP協(xié)議傳輸?shù)?。如果考慮到自動化流量，HTTP的比例則躍升至近17%。

客戶可以在儀表板的“Analytics & Logs > Traffic Served Over SSL”下跟蹤HTTP與HTTPS流量，以評估這一變更對其環(huán)境的影響。