Cloudflare 可以針對不同 Hostname 給不同的 TLS 設定了
source link: https://blog.gslin.org/archives/2023/08/10/11292/cloudflare-%e5%8f%af%e4%bb%a5%e9%87%9d%e5%b0%8d%e4%b8%8d%e5%90%8c-hostname-%e7%b5%a6%e4%b8%8d%e5%90%8c%e7%9a%84-tls-%e8%a8%ad%e5%ae%9a%e4%ba%86/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Cloudflare 可以針對不同 Hostname 給不同的 TLS 設定了
Cloudflare 總算是提供付費方案 (包在 Advanced Certificate Manager 裡面),可以針對不同的 hostname 給不同的 TLS 設定了:「Introducing per hostname TLS settings — security fit to your needs」。
本來的限制是整個 domain 都是一樣的 TLS 設定,這點對免費仔來說還好,但對於企業客戶來說就不太好用了。
遇到客戶端 (甚至是客戶) 是 Java 6 這種不支援 TLS 1.2 的情況 (參考「Qualys SSL Labs - Projects / User Agent Capabilities: Java 6u45」這邊),你還是得想辦法生一組 TLS 1.0 服務出來,但整個 domain 都開又有可能會死在 PCI-DSS 之類的規範。
以前遇到的時候有兩種解法,第一種是在客戶端自己解決,像是在內網架 SSL proxy (通常會搭配 self-signed CA) 讓 Java 6 的 client 還是可以透過 TLS 1.0 通訊,但是連到 internet 上面會是比較新的 TLS 1.2 或是 TLS 1.3,這種算是比較安全的。
另外一種就是在 Cloudflare 上另外開一個 domain,這樣就可以用 TLS 1.0 半裸奔。
現在這樣等於是讓第二個方案更簡單一點,不用另外開 domain,只需要在 hostname 上設定...
Related
保護 TLS 的 Hostname
看到「Encrypted Server Name Indication for TLS 1.3」這個,由 Fastly、Cloudflare、Apple 的人聯手推出的 draft,想要保護 TLS 連線一開始明文傳輸的 hostname 部分。看起來是透過 DNS 發佈 public key,然後使用者用這把 public key 保護 hostname 的部分... 而 DNS 的部分可以透過 DNS over TLS 或是 DNS over HTTPS 來保護,這樣讓 ISP 沒有任何資訊可以看到 hostname,把暴露的資訊再降低... 來繼續關注這個技術...
July 4, 2018In "Computer"
MaxCDN 將中止 TLS 1.0 的支援
這一槍開的好早,MaxCDN 宣佈因為安全性問題,決定從下個禮拜就中止對 TLS 1.0 的支援:「We're Disabling TLS 1.0 Support on March 18, 2016」。 而且新聞稿也寫的超怪: After sunsetting TLS 1.0 at MaxCDN, we will continue to support TLS 1.1 and TLS 1.2, though we highly recommend TLS 2.0 for your toolset. It’s currently the fastest and most secure cryptographic protocol available, though…
March 12, 2016In "CDN"
CloudFlare 的 Keyless SSL 服務
CloudFlare 有兩篇公告出來:「Announcing Keyless SSL™: All the Benefits of CloudFlare Without Having to Turn Over Your Private SSL Keys」、「Keyless SSL: The Nitty Gritty Technical Details」。前面的一篇偏向公告文 (以及公關稿),而後面的一篇提到了實際運作的方式。 用兩張 Keyless SSL 的 flow 就可以知道差異了,一張是 RSA-based,一張是 DH-based: 把與 private key 相關的運算拆出來,由後方計算完成後再計算出 session key 與 client 溝通。如此一來,雖然速度比較慢,但 private key 管理在客戶自己手上...
September 20, 2014In "CDN"
Author Gea-Suan LinPosted on August 10, 2023Categories CDN, Computer, Murmuring, Network, Privacy, Security, Service, WWWTags cdn, cloudflare, security, settings, ssl, tls
Leave a Reply
Your email address will not be published. Required fields are marked *
Comment *
Name *
Email *
Website
Notify me of follow-up comments by email.
Notify me of new posts by email.
To respond on your own website, enter the URL of your response which should contain a link to this post's permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post's URL again. (Learn More)
Post navigation
Recommend
-
7
AWS 推出 X2gd 機種,針對記憶體再提供更便宜的方案 AWS 推出了 X2gd 機種,用 ARM 的 CPU,然後給更少顆,disk 也更小,但換來的就是價錢更低:「
-
13
DataGridView已经绑定了数据源了,可以追加新的数据源吗?-CSDN论坛重新给datagridview设置数据源谨记的一件事_奔跑的QQEE...这告诉程序,datagridview的...
-
6
M.2 PCIe NVMe 介面針對 NAS 最佳化,Western Digital 推出 WD Red SN700 NVMe SSD 容量選擇範圍 250GB~4TB,寫入耐用度最高達 1DWPD 上下。
-
19
V2EX › DNS Cloudflare 开始部署 TLS ECH leiakun · 6 小时 36 分钟前 · 580 次点击
-
4
CFSSL CloudFlare's PKI/TLS toolkit CFSSL is CloudFlare's PKI/TLS swiss army knife. It is both a command line tool and an HTTP API server for signing, verifying, and bundling TLS certificates. It requires Go 1.12+ to build.
-
5
确定了!蔚来手机明年发 本来今年可以但李斌“有追求”
-
1
blog.cloudflare.com Checking if the site connection is secure
-
5
We are thrilled to announce the fu...
-
5
針對 OEM 市場的 PCIe 4.0 性能導向產品,Micron 推出 3500 NVMe SSD
-
6
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK