Cloudflare 一鍵式 SSL

449,281,633,098

個加密要求在昨天獲經手

要想實現更安全、更美好的網際網路環境,盡量將所有的 Web 流量加密以防資料遭到竊取與竄改,是很重要的一步。我們很自豪能夠成為第一家免費提供 SSL 防護的網際網路效能與安全性公司。

保護您的網站

什麼是 Universal SSL?

SSL (安全通訊端層) 是在網頁伺服器與瀏覽器之間建立加密連結的標準安全性技術。所形成的安全連結能夠確保所有傳輸的資料都保有隱私。其還有一個名稱,叫作 TLS (傳輸層安全性)。每天都有數以百萬計的網站使用 SSL 加密來保護連線,以免顧客的資料遭到監聽與竄改

為何要使用 SSL?

網際網路上的每個網站都應該採用 HTTPS 連線,原因包括:

  • 效能:如今的 SSL 其實能讓網頁載入得更快。
  • 搜尋排名提升:搜尋引擎會將 HTTPS 網站排比較前面。
  • 安全性:使用 SSL 將流量加密,可確保無人能夠窺探您使用者的資料。
  • 信託:SSL 會在瀏覽器的網址列中顯示一個綠色鎖頭,增加訪客的信任感。
  • 合規:SSL 是實現 PCI 合規性的關鍵要素。

容易上手的 SSL 設定

手動設定 SSL 需要多道步驟;萬一過程中有任何差錯,都可能導致使用者無法連上您的網站。在 Cloudflare 中,只要按一鍵,就能對任何網際網路資產啟用 HTTPS。使用 Cloudflare SSL,您再也無需擔心 SSL 憑證會過期,或是擔心未能及時發現最新 SSL 漏洞來加以防範。

手動設定 SSL

SSL configuration Cloudflare

在 Cloudflare 設定 SSL

Cloudflare SSL configuration

SSL 效能

不同於往昔,如今的 HTTPS 更快、更安全,已為更多網站所使用。SSL 讓 HTTP/2 得以成真,而 HTTP/2 可在不變更現有程式碼的情況下,就讓網站載入速度最高快兩倍。如今的 TLS 還包含效能導向功能,像是工作階段恢復、OCSP 裝訂,以及橢圓曲線加密法 (橢圓曲線加密法所用的金鑰更小,讓交握程序得以更快完成)。TLS 1.3 則是一方面讓延遲時間進一步減少,一方面又移除了 TLS 不安全的功能,讓 HTTPS 比以往任何版本的 TLS (以及其所採用的不安全 HTTP) 都來得更安全、效能更高。

Cloudflare 還進一步改進了 OpenSSL 的效能。我們實作了 ChaCha20-Poly1305,這個加密套件在行動裝置上的運作速度較 AES-128-GCM 快三倍。總歸一句話,我們是很在意效能的。

Cloudflare SSL 設定

作業模式

視您所需的安全等級以及願意花多少功夫進行設定而定,Cloudflare 提供了三種 SSL 作業模式。傳到最終使用者的流量一律會受到加密,換句話說,您的網站始終會享受到 HTTPS 的效果。然而對於 Cloudflare 與您來源伺服器之間的流量而言,則可以有不同的設定方式。

靈活 SSL

「靈活 SSL」會將 Cloudflare 傳到您網站最終使用者的流量加密,但不會將 Cloudflare 傳到您原始伺服器的流量加密。這是啟用 HTTPS 最簡單的方式,因為您無需在來源安裝 SSL 憑證。「靈活 SSL」雖不如其他選項安全,但能幫您的訪客擋掉大部分的威脅,包括公用 WiFi 窺探和透過 HTTP 進行的廣告植入。

Flexible SSL

完整 SSL

「完整 SSL」模式會將最終使用者傳到 Cloudflare 以及 Cloudflare 傳到您來源伺服器的流量加密。這個模式需要您在來源伺服器上安裝 SSL 憑證。在完整 SSL 模式下,您可在自己的伺服器上安裝的憑證有三種:一種是由憑證授權單位核發的憑證 (強制),一種是由 Cloudflare 核發的憑證 (來源 CA),最後一種就是自我簽署的憑證。建議您使用透過 Cloudflare「來源 CA」取得的憑證。

Strict SSL

來源 CA

「來源 CA」會使用 Cloudflare 核發的 SSL 憑證,而非憑證授權單位核發的憑證。如此能減少在您來源伺服器上設定 SSL 時所遇到的阻力,同時仍讓您來源傳到 Cloudflare 的流量受到保護。與其讓 CA 簽署您的憑證,您可以直接在 Cloudflare 儀表板產生一個經簽署的憑證。

Origin CA

進階設定選項

自訂憑證

Cloudflare 會自動佈建由多個客戶網域共用的 SSL 憑證。Business 與 Enterprise 客戶可以選擇上傳要向最終使用者出示的專屬自訂 SSL 憑證。透過這種方式,就能使用延伸驗證 (EV) 與組織驗證 (OV) 憑證。

HSTS

支援 HTTP 強制安全傳輸 (HSTS) 通訊協定,是讓您的網站、API 或行動應用程式獲得更佳保護的最簡單方式之一。HSTS 是 HTTP 通訊協定的延伸,其會強迫用戶端對您來源伺服器提出的每個要求都使用安全的連線。Cloudflare 提供了 HSTS 支援,只要按一鍵就能享有。

Modern TLS Only

要符合 PCI 3.2 規定,就必須使用 TLS 1.2 或 1.3,這是因為所有更早版本的 TLS 和 SSL 皆存在了已知漏洞。Cloudflare 提供了「Modern TLS Only」選項,強迫您的網站送出的所有 HTTPS 流量都變成透過 TLS 1.2 或 1.3 提供。

Automatic HTTPS Rewrites

Automatic HTTPS Rewrites 會將已知安全的主機中的不安全 URL 動態重寫成安全的版本,安全消除混合內容問題,同時增強效能和安全性。Automatic HTTPS Rewrites 這個強制套用安全連線的動作,可讓您享有 HTTPS 連線才有的最新安全性標準與網頁最佳化功能。

伺機性加密

「伺機性加密」為礙於內容混合或其他舊有問題而無法升級到 HTTPS 的純 HTTP 網域,提供了唯有使用 TLS 才能享受到的加密與網頁最佳化功能,卻連一行程式碼都不用變。

TLS 用戶端驗證

Cloudflare 的相互驗證 (TLS 用戶端驗證) 會在用戶端 (像是物聯網裝置或行動 App) 與其來源之間建立安全連線。當用戶端試圖與來源伺服器建立連線時,Cloudflare 會驗證裝置的憑證,藉以檢查其是否獲得授權來存取端點。裝置如果具有有效的用戶端憑證 (就像握有進入大樓的正確鑰匙),就能建立安全連線。如果裝置的憑證遺失、到期或無效,Cloudflare 就會撤銷連線並傳回 403 錯誤。

地理位置金鑰管理工具

地理位置金鑰管理工具可讓您選擇哪些 Cloudflare 資料中心有權存取私密金鑰來建立 HTTPS 連線。Cloudflare 提供了預先設定的選項供您選擇,包括美國或歐盟的資料中心,以及 Cloudflare 網路中安全性最高的資料中心。無權存取私密金鑰的資料中心仍能終止 TLS,但在聯繫距離最近的 Cloudflare 私密金鑰存放資料中心時,一開始會遇到輕微的延遲。

專屬 SSL 憑證

專屬 SSL 憑證是透過我們的全球內容傳遞網路傳遞,提供了高度的加密與相容性,還有快如閃電的效能。只要在 Cloudflare 儀表板內按幾下按鈕,就能輕鬆快速地核發新憑證、安全地產生私密金鑰等等。所有 Cloudflare 定價方案均開放購買專屬 SSL 憑證。 了解更多

大規模解決 TLS 漏洞

Cloudflare 工程師每天都在處理數十億個 SSL 要求,所以一旦發現新的安全漏洞,我們就必須趕緊解決。由於我們採用的安全性標準十分嚴格,許多漏洞並不會影響使用者,但我們就是喜歡解釋加密漏洞的成因。

Padding Oracles 攻擊及 CBC 加密套件的衰落

2016 年年初,我們發現 Web 用戶端對 AEAD 加密的支援在短短六個月間,就從不到 50% 躍升到超過 70%。了解加密區塊鏈為何不再被公認為完全安全的技術。

閱讀詳情

Logjam:這項最新 TLS 漏洞之成因解釋

雖然 Cloudflare 客戶從未受 Logjam 漏洞所影響,但我們還是撰文來詳細解釋其成因。

閱讀詳情

打造您專屬的公用金鑰基礎結構

Cloudflare 是利用自家的內部憑證授權單位,對自家資料中心之間的所有流量進行加密。我們是利用自建的開放原始碼 PKI 工具組來做到這一點。

閱讀詳情

設置 Cloudflare 輕鬆簡便

設立網域甚至不需要 5 分鐘。您可以沿用托管提供商。不需要更改程式碼。

Cloudflare 的定價

每個人的網際網路應用程式都能因為使用 Cloudflare 而受益。
挑選適合您需求的方案。

Free 方案 $ 0 //月, /網站
展開檢視更多內容 隱藏
適用於小型個人網站、部落格,以及任何想要評估 Cloudflare 的使用者。

了解更多

Free 方案包括所有下列功能:
  • DDoS 攻擊無限速緩解
  • 全球 CDN
  • 共享 SSL 憑證
  • 存取帳號的稽核記錄檔
  • 3 項頁面規則
比較所有功能
Pro 方案 $ 20 //月 /網站
展開檢視更多內容 隱藏
適用於專業網站、部落格,以及需要基礎安全性與效能的網頁組合。

了解更多

Pro 方案包括 Free 方案中的一切,以及:
  • Web 應用程式防火牆 (WAF) 含 Cloudflare 規則集
  • 使用 Polish™ 進行影像最佳化
  • 使用 Mirage™ 進行行動最佳化
  • I'm Under Attack™ 模式
  • 存取帳號的稽核記錄檔
  • 20 項頁面規則
比較所有功能
Business 方案 $ 200 //月 /網站
展開檢視更多內容 隱藏
適用需要進階安全性與效能、PCI 合規性以及支援優先電子郵件的小型電子商務網站和企業。

了解更多

Business 方案包括 Pro 方案中的一切,以及:
  • Web 應用程式防火牆 (WAF) 含 25 項自訂規則的自訂規則集
  • 上傳自訂 SSL 憑證
  • 得力於 Modern TLS Only 模式和 WAF 而達到PCI 合規性
  • 僅略過對 Cookie 的快取
  • 使用 Railgun™ 加快動態內容的傳遞
  • 支援優先電子郵件
  • 存取帳號的稽核記錄檔
  • 50 項頁面規則
比較所有功能
企業 與我們聯絡
展開檢視更多內容 隱藏
適用於需要企業級的安全性和效能、全年無休、每天 24 小時的緊急支援,以及保障運行時間的公司。

了解更多

Enterprise 方案包含 Business 方案的一切,以及:
  • 全年無休、每天 24 小時的企業級電話、電子郵件以及聊天支援
  • 保證 100% 運作時間 SLA (未能符合此承諾將賠償 25 倍金額)
  • 企業級 DDoS 防護與網路優先性
  • 進階 Web 應用程式防火牆 (WAF) 以及無限數量的自訂規則集
  • 角色型多使用者帳號存取
  • 上傳多個自訂 SSL 憑證
  • 存取原始記錄檔
  • 存取帳號的稽核記錄檔
  • 專屬解決方案與客戶工程師
  • 存取中國 CDN 資料中心 (需支付額外費用)
  • 100 項頁面規則
比較所有功能

Free 方案:

$ 0 /
 
我們的 Free 方案適用於小型個人網站、部落格,以及任何想要評估 Cloudflare 的使用者。

Pro 方案:

$ 20 /
每個網域
適用於需要基本安全性與效能的專業網站、部落格與組合。

Business 方案

$ 200 /
每個網域
適用於需要進階安全性與效能、PCI 合規性與優先電子郵件支援的小型電子商務網站與公司。

Enterprise 方案

與我們聯繫
 
適用需要企業級安全性與效能、全年無休每天 24 小時的優先電話、電子郵件與交談支援保障運作時間的公司。

廣受信任

超過 10,000,000 個網際網路應用程式與 API 信任我們

技術詳細資料

支援 Cloudflare SSL Free 使用者使用的最低瀏覽器版本:

  • Firefox 2
  • Windows Vista 上的 Internet Explorer 7
  • Windows Vista 或 OS X 10.6 上的:
    • Chrome 5.0.342.0
    • Opera 14
    • Safari 4

行動瀏覽器

  • iOS 4.0 上的 Mobile Safari
  • Android 4.0 (Ice Cream Sandwich)
  • Windows Phone 7

注意:以上所列乃最低作業系統版本需求。如需與更舊版本的瀏覽器有更好的相容性,例如 Windows XP SP2 和 Android <3.0,請以我們的 Pro、Business 或 Enterprise 方案使用 SSL。如有其他疑問,歡迎參閱我們的常見問題集