【功成身退】Cloudflare全面關閉HTTP連接 強制採用HTTPS以提升數據安全
DNS 網絡服務供應商 Cloudflare 宣布,由即日起全面關閉其 API 服務使用 HTTP 連接,並強制要求所有請求採用加密的 HTTPS 協議。這項政策旨在消除傳輸未加密數據的風險,防止敏感訊息遭中間人攔截或洩露。雖然 HTTP 有簡易及快速傳輸的優勢,但隨著網絡安全風險攀升,也是時候退下火線。
Cloudflare 在公告中表示,新政策不單會完全拒絕任何試圖通過 HTTP 連接到其 API 的請求,甚至不會建立連接,換言之只有 HTTPS 加密連接才會被接受,仍然使用 HTTP 協議的 API 請求將由最開始被禁制,以避免在發出請求時有機會洩露當中包含的機密資料如 token、帳戶名稱及密碼等,所以發出訪問請求的人亦不會收到任何「403 Forbidden」回應。
HTTPS 協議有高度安全性
HTTP 和 HTTPS 是互聯網數據傳輸的兩種常用協議,兩者的分別在於前者在傳輸過程中數據是未被加密並以明文形式通過網絡傳輸,容易被第三方攔截或篡改,特別是使用公共 Wi-Fi 連接互聯網時,數據就更易被其他人攔截。
而 HTTPS 協議比較安全的地方是數據會先採用 SSL/TLS 加密技術,溝通雙方必須通過共用金鑰及非對稱式加密方式,成功驗證後才能解讀數據,有效確認彼此的身分與內容的完整性,所以即使數據被攔截,也無法被解讀。由於 HTTPS 協議有高度安全性,所以現時不少搜尋器也鼓勵網站或應用服務供應商採用這種協議,而使用這種協議的網站更會有較高的 SEO 評分。
年底推出免費功能助用家過渡
Cloudflare 又透露,雖然大部分網絡流量已經轉向 HTTPS,但仍有約 2.4% 的互聯網流量使用不安全的 HTTP 協議;如果將自動化流量計算在內,比例更上升至接近 17%。這次政策變更將對仍使用 HTTP 協議的開發者和系統帶來直接影響,例如一些依賴 HTTP 的腳本、機械人、自動化工具,以及一些舊系統或配置不當的客戶端裝置將無法再正常運行。
為了幫助客戶更好地過渡,Cloudflare 計劃在年底推出一項免費功能,允許客戶在安全的方式下禁用 HTTP 流量。用家還可以通過控制介面的「Analytics & Logs」功能,查看網站的 HTTP 與 HTTPS 流量比例,評估切換到 HTTPS 協議後的影響。
