Cloudflare API强制HTTPS：杜绝明文流量

为了进一步提升Cloudflare API的安全性，我们计划在2025年最后一个季度推出一项免费功能，允许客户在Cloudflare上禁用所有HTTP端口流量。这是我们致力于保护用户数据隐私和加强互联网安全的一部分。

为什么要强制HTTPS？

Cloudflare已经提供了“始终使用HTTPS”设置，用于将所有HTTP流量重定向到HTTPS。例如，当用户访问 http://www.example.com 时，系统会通过HTTP 3XX重定向状态码将其跳转到 https://www.example.com。然而，这种方法存在一个潜在风险：初始的明文HTTP请求可能包含敏感信息，在重定向之前就已暴露。

风险示例
在公共网络中，初始的明文HTTP请求可能被第三方拦截，甚至可能导致中间人攻击（MITM），从而泄露敏感数据。

通过完全关闭HTTP端口，我们可以从根本上杜绝这种风险，确保敏感信息不会在传输层暴露。

预防性方法的优势

相比于事后检测和撤销受损凭据，预防性方法更高效。通过在传输层直接拒绝HTTP连接，可以在任何应用层数据交换之前阻止潜在的泄露。这种方法不仅更安全，还能简化操作流程，避免频繁的密钥轮换。

传输层的作用

应用层请求需要依赖底层传输层（如TCP或QUIC）建立连接。端口号和IP地址的组合用于标识传输信道。例如：

端口80：明文HTTP
端口443：加密HTTPS

通过禁用HTTP端口（如80），可以在传输层阻止连接建立，从而避免敏感数据在客户端发送之前被暴露。

实施步骤

关闭HTTP端口

为了实现强制HTTPS，Cloudflare计划逐步关闭全球范围内的HTTP端口。以下是关键步骤：

配置IPv4和IPv6地址空间

使用工具如Tubular，将套接字与特定的IP:端口对解耦，便于大规模管理端点。
更新防火墙规则

扩展全局防火墙配置，拒绝HTTP端口上的任何入站数据包。例如：

   iptables -A INPUT -p tcp -d  --dport  -j REJECT --reject-with tcp-reset
   iptables -A OUTPUT -p udp -d  --dport  -j REJECT --reject-with icmp-port-unreachable

更新DNS策略

在权威DNS服务器中为仅HTTPS接口的API请求都路由到正确的HTTPS接口。

监控和过渡

在完全关闭HTTP端口之前，Cloudflare建议客户通过仪表板监控未加密的流量。具体步骤如下：

登录Cloudflare仪表板，选择您的账户和域。
导航到“分析与日志”部分，查看“通过SSL服务的流量”小节。
分析加密与未加密流量的比例，为即将关闭HTTP端口做好准备。

注意
选择加入后，您的网站将不再通过HTTP提供服务，未加密流量的比例应降为零。

对开发者的影响

关闭HTTP接口后，任何试图通过HTTP访问API的请求都会被直接拒绝，而不是返回403 Forbidden响应。这种“快速失败”机制可以帮助开发者迅速发现问题并纠正错误，例如将 http:// 更改为 https://。

此外，Cloudflare将逐步停止对不包含SNI值的传统API客户端的支持。我们将与受影响的客户密切合作，确保平稳过渡。

展望未来

除了Cloudflare API的用例外，我们还在探索其他领域的明文流量端口关闭方案。尽管未加密流量的完全消除可能需要时间，但每一个小的改进都能为构建更安全的互联网做出贡献。

到2025年最后一个季度，Cloudflare将为所有客户提供通过仪表板或API启用强制HTTPS的能力。我们相信，安全应该对所有人免费！

原文链接: https://blog.cloudflare.com/https-only-for-cloudflare-apis-shutting-the-door-on-cleartext-traffic/

Cloudflare API强制HTTPS：杜绝明文流量