24.03.25 13:15
Теперь любые попытки подключиться к «api.cloudflare[.]com» по незашифрованному каналу будут отклоняться ещё до установления соединения. Это означает, что сервер больше не будет перенаправлять HTTP-запросы на HTTPS — соединение попросту не состоится.
Такой шаг направлен на устранение даже теоретической возможности утечки чувствительных данных, которые могли бы быть переданы в незашифрованном виде до того, как сервер отклонит запрос или перенаправит его, пишет Securitylab.
Ранее при попытке подключения по HTTP система могла выдать ответ 403 или направить пользователя на HTTPS, но даже в этих случаях информация, вроде токенов и API-ключей, успевала покинуть устройство клиента в открытом виде. Особенно опасной эта ситуация становилась в условиях публичных Wi-Fi-сетей, где перехват трафика возможен без особых усилий.
Теперь HTTP-интерфейс закрыт полностью, и соединение через него невозможно на уровне транспортного протокола. Разработчики и автоматизированные системы обязаны использовать исключительно HTTPS для работы с API. Cloudflare подчёркивает, что подключение без шифрования не будет даже рассматриваться сервером — оно будет отвергнуто сразу, без передачи каких-либо данных.
API Cloudflare активно используется для управления инфраструктурой: работы с DNS-записями, конфигурации брандмауэров, включения защиты от DDoS-атак, настройки кэширования, параметров SSL, доступа к аналитике и политике нулевого доверия. Обновление влияет на все сценарии, где до сих пор использовался HTTP, включая устаревшие скрипты, старые IoT-устройства и инструменты с некорректной настройкой протоколов.
Cloudflare отмечает, что среди всего интернет-трафика, проходящего через их систему, около 2,4% до сих пор осуществляется по HTTP. Если же учитывать только автоматизированный трафик, то доля HTTP вырастает до 17%. Именно такие случаи представляют наибольшую угрозу, так как боты и устаревшие клиенты часто не используют шифрование по умолчанию.
Для клиентов, размещающих сайты через Cloudflare, компания уже готовит бесплатный инструмент, способный безопасно отключать HTTP-трафик. До его выпуска (планируемого только на конец года) пользователи смогут отслеживать соотношение HTTP и HTTPS в своей статистике через раздел «Analytics & Logs > Traffic Served Over SSL» и заранее оценивать потенциальные последствия.
