4

Cloudflare 可以針對不同 Hostname 給不同的 TLS 設定了

 1 year ago
source link: https://blog.gslin.org/archives/2023/08/10/11292/cloudflare-%e5%8f%af%e4%bb%a5%e9%87%9d%e5%b0%8d%e4%b8%8d%e5%90%8c-hostname-%e7%b5%a6%e4%b8%8d%e5%90%8c%e7%9a%84-tls-%e8%a8%ad%e5%ae%9a%e4%ba%86/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

Cloudflare 可以針對不同 Hostname 給不同的 TLS 設定了

Cloudflare 總算是提供付費方案 (包在 Advanced Certificate Manager 裡面),可以針對不同的 hostname 給不同的 TLS 設定了:「Introducing per hostname TLS settings — security fit to your needs」。

本來的限制是整個 domain 都是一樣的 TLS 設定,這點對免費仔來說還好,但對於企業客戶來說就不太好用了。

遇到客戶端 (甚至是客戶) 是 Java 6 這種不支援 TLS 1.2 的情況 (參考「Qualys SSL Labs - Projects / User Agent Capabilities: Java 6u45」這邊),你還是得想辦法生一組 TLS 1.0 服務出來,但整個 domain 都開又有可能會死在 PCI-DSS 之類的規範。

以前遇到的時候有兩種解法,第一種是在客戶端自己解決,像是在內網架 SSL proxy (通常會搭配 self-signed CA) 讓 Java 6 的 client 還是可以透過 TLS 1.0 通訊,但是連到 internet 上面會是比較新的 TLS 1.2 或是 TLS 1.3,這種算是比較安全的。

另外一種就是在 Cloudflare 上另外開一個 domain,這樣就可以用 TLS 1.0 半裸奔。

現在這樣等於是讓第二個方案更簡單一點,不用另外開 domain,只需要在 hostname 上設定...

Related

保護 TLS 的 Hostname

看到「Encrypted Server Name Indication for TLS 1.3」這個,由 Fastly、Cloudflare、Apple 的人聯手推出的 draft,想要保護 TLS 連線一開始明文傳輸的 hostname 部分。看起來是透過 DNS 發佈 public key,然後使用者用這把 public key 保護 hostname 的部分... 而 DNS 的部分可以透過 DNS over TLS 或是 DNS over HTTPS 來保護,這樣讓 ISP 沒有任何資訊可以看到 hostname,把暴露的資訊再降低... 來繼續關注這個技術...

July 4, 2018

In "Computer"

MaxCDN 將中止 TLS 1.0 的支援

這一槍開的好早,MaxCDN 宣佈因為安全性問題,決定從下個禮拜就中止對 TLS 1.0 的支援:「We're Disabling TLS 1.0 Support on March 18, 2016」。 而且新聞稿也寫的超怪: After sunsetting TLS 1.0 at MaxCDN, we will continue to support TLS 1.1 and TLS 1.2, though we highly recommend TLS 2.0 for your toolset. It’s currently the fastest and most secure cryptographic protocol available, though…

March 12, 2016

In "CDN"

CloudFlare 的 Keyless SSL 服務

CloudFlare 有兩篇公告出來:「Announcing Keyless SSL™: All the Benefits of CloudFlare Without Having to Turn Over Your Private SSL Keys」、「Keyless SSL: The Nitty Gritty Technical Details」。前面的一篇偏向公告文 (以及公關稿),而後面的一篇提到了實際運作的方式。 用兩張 Keyless SSL 的 flow 就可以知道差異了,一張是 RSA-based,一張是 DH-based: 把與 private key 相關的運算拆出來,由後方計算完成後再計算出 session key 與 client 溝通。如此一來,雖然速度比較慢,但 private key 管理在客戶自己手上...

September 20, 2014

In "CDN"

a611ee8db44c8d03a20edf0bf5a71d80?s=49&d=identicon&r=gAuthor Gea-Suan LinPosted on August 10, 2023Categories CDN, Computer, Murmuring, Network, Privacy, Security, Service, WWWTags cdn, cloudflare, security, settings, ssl, tls

Leave a Reply

Your email address will not be published. Required fields are marked *

Comment *

Name *

Email *

Website

Notify me of follow-up comments by email.

Notify me of new posts by email.

To respond on your own website, enter the URL of your response which should contain a link to this post's permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post's URL again. (Learn More)

Post navigation


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK