Introducing: Advanced Certificate Manager

เราเปิดตัวใบรับรองเฉพาะเมื่อปี 2016 และวันนี้ เรารู้สึกตื่นเต้นที่จะประกาศว่าใบรับรองเฉพาะกำลังได้รับการอัปเกรด… และได้ชื่อใหม่… เราขอแนะนำ Advanced Certificate Manager! นี่คือวิธีจัดการใบรับรองของคุณบน Cloudflare ได้อย่างยืดหยุ่นในแบบที่ต้องการ

ใบรับรอง

ใบรับรอง TLS คือเหตุผลที่ทำให้คุณสามารถท่องอินเทอร์เน็ตได้อย่างปลอดภัย โอนเงินออนไลน์อย่างปลอดภัย และรักษาความเป็นส่วนตัวของรหัสผ่านของคุณ ด้วยการเข้ารหัสข้อความที่ละเอียดอ่อนของคุณโดยใช้วิทยาการเข้ารหัสลับคีย์สาธารณะที่จะเชื่อมโยงกับตัวใบรับรองด้วยการเข้ารหัสลับโดยตรง แต่ใบรับรอง TLS ยังนำมาใช้เพื่อยืนยันตัวตน ด้วยการยืนยันว่าเซิร์ฟเวอร์คือเซิร์ฟเวอร์ตามที่ได้กล่าวอ้างไว้ ใบรับรองเซิร์ฟเวอร์เป็นใบรับรองที่ทุกเว็บไซต์ใช้ ประกอบด้วยชื่อเว็บไซต์บนใบรับรองและออกโดยหน่วยงานออกใบรับรองบุคคลที่สาม (CA) ที่ยืนยันว่า ข้อมูลของใบรับรองนั้นถูกต้องและแม่นยำ

เบราว์เซอร์อนุญาตให้คุณเยี่ยมชมเว็บไซต์ได้ก็ต่อเมื่อมีการเข้ารหัสโดยใช้ TLS หลังจากเบราว์เซอร์ตรวจสอบใบรับรองที่แสดงโดยเซิร์ฟเวอร์สำเร็จแล้ว ซึ่งก็เหมือนกับระบบรักษาความปลอดภัยที่จะตรวจสอบ ID ของคุณก่อนขึ้นเครื่อง

เรากำลังมุ่งเน้นไปที่การรักษาความปลอดภัยของอินเทอร์เน็ตในขณะนี้มากกว่าที่เคยเป็นมา เราต้องการทำให้ลูกค้าทุกคนเป็นลูกค้าที่คำนึงถึงความปลอดภัยได้อย่างง่ายดายที่สุด นี่คือเหตุผลที่เรากำลังก้าวไปสู่ระบบการจัดการใบรับรอง ที่จะช่วยให้คุณปรับแต่งใบรับรองและการตั้งค่า TLS ของคุณได้โดยไม่ยุ่งยาก คุณจะมีเครื่องมือที่เหมาะสมที่นำมาใช้เพื่อเพิ่มความปลอดภัยในเชิงรุกให้กับโดเมนของคุณได้

ขอเริ่มกันโดยพูดถึงการปรับเปลี่ยนช่วงมีผลใช้งานสำหรับใบรับรองของคุณ ซึ่งเป็นการเปลี่ยนแปลงไม่มากนักแต่จะสร้างความแตกต่างได้อย่างชัดเจน

ลดอายุใบรับรองของคุณ

Certification Authority Browser Forum คือกลุ่มอาสาสมัครที่กำหนดแนวทางด้านอุตสาหกรรมสำหรับใบรับรอง กลุ่มได้ลดอายุสูงสุดของใบรับรองที่เชื่อถือได้ในที่สาธารณะลงตลอดช่วงหลายปีที่ผ่านมา คุณเคยได้รับใบรับรองที่อายุจำกัดสามปี แต่ตอนนี้คุณสามารถรับใบรับรองที่มีอายุจำกัดหนึ่งปีเท่านั้น ทำไมกลุ่มถึงทำเช่นนี้

การหมุนเวียนใบรับรองบ่อยขึ้นควรจะความหมายว่าคุณกำลังหมุนเวียนคีย์ส่วนตัวของคุณบ่อยขึ้น แต่ไม่เสมอไป การเปลี่ยนรหัสลับบ่อยขึ้น หมายความว่าหากรหัสลับ (ซึ่งในกรณีนี้คือคีย์ส่วนตัว) นั้นรั่วไหล ระยะของการส่งผลกระทบสูงสุดจะอยู่ในช่วงที่สั้นลง ซึ่งก็คือการมีมาตรการรักษาความปลอดภัยที่ดีขึ้นและช่วยลดความเสี่ยงที่เกี่ยวข้องกับผลกระทบที่เกิดกับคีย์นั้น

นอกจากนี้ ยังมีโบนัสเพิ่มเติมของการสนับสนุนระบบการทำงานอัตโนมัติ เพราะเมื่อคุณทำงานบ่อยขึ้น คุณย่อมต้องการให้ระบบทำงานโดยอัตโนมัติมากขึ้น ทั้งนี้ ระบบอัตโนมัติหมายความว่าคุณจะมีโอกาสน้อยที่จะปล่อยให้ใบรับรองหมดอายุในสภาพแวดล้อมการผลิต หรือให้บุคคลเข้าถึงเนื้อหาสำคัญ

คุณสามารถใช้ Advanced Certificate Manager เพื่อกำหนดระยะเวลาที่มีผลใช้ของใบรับรองให้เหลือเพียง 14 วัน เมื่อร่นอายุใบรับรองให้สั้นลง นั่นคือคุณกำลังปรับปรุงรูปแบบความปลอดภัยในแบบเชิงรุก และการหมุนเวียนใบรับรองและคีย์ส่วนตัวเมื่อต่ออายุ คือการลดความเสี่ยงที่จะถูกเปิดเผยตัวตนนั่นเอง

การตั้งระยะเวลาใช้งานแค่ช่วงสั้น ๆ สำหรับบางคนอาจเพิ่มความเสี่ยงที่ระบบจะหยุดทำงาน เนื่องจากระยะเวลาที่ใช้งานได้สั้น บังคับให้ต้องมีการออกใบรับรองบ่อยครั้ง ซึ่งสามารถส่งผลให้เซิร์ฟเวอร์ทำงานหนักเกินไปได้

เรื่องนี้ไม่ใช่ปัญหาที่ Cloudflare ระยะเวลาที่ใช้งานได้สั้นลงกระตุ้นให้เราปรับปรุงการออกใบรับรองและให้ความคล่องตัวในกระบวนการต่ออายุ เราสามารถพูดได้อย่างมั่นใจว่าลูกค้าทุกคนสามารถกำหนดระยะเวลาใช้งาน 14 วัน และเราจะดูแลให้เพราะปัจจุบันเราออกใบรับรองประมาณ 4.5 ล้านใบในแต่ละวัน

โดยรวมแล้ว อุตสาหกรรมกำลังขับเคลื่อนสู่การร่นระยะเวลามีผลบังคับใช้ของใบรับรองให้สั้นลง เราจึงรู้สึกตื่นเต้นมากที่จะทำให้ลูกค้าเลือกใช้ตัวเลือกนี้ได้ง่าย ๆ

ลูกค้าบางรายต้องการมากกว่านั้นและควบคุมชุดการเข้ารหัสที่นำมาใช้กับ TLS และตอนนี้คุณควบคุมได้ด้วย ACM!

การตั้งค่าชุดการเข้ารหัส

ชุดการเข้ารหัส คือชุดของอัลกอริทึมที่ช่วยรักษาความปลอดภัยให้กับการเชื่อมต่อเครือข่ายที่ใช้ TLS ชุดของอัลกอริทึมที่รวมอยู่ในชุดการเข้ารหัสประกอบด้วย:

  • อัลกอริทึมการแลกเปลี่ยนคีย์
  • อัลกอริทึมการตรวจพิสูจน์
  • อัลกอริทึมการเข้ารหัสจำนวนมาก
  • อัลกอริทึมรหัสการตรวจพิสูจน์ข้อความ (MAC)

เมื่อเซิร์ฟเวอร์สองเครื่องต้องการสื่อสารระหว่างกันอย่างปลอดภัยผ่าน TLS เซิร์ฟเวอร์เหล่านั้นจะเริ่มต้นด้วยการเริ่มการทำงานของ TLS handshake ซึ่งในระหว่าง TLS handshake ทั้งไคลเอนต์และเซิร์ฟเวอร์จะสร้างอัลกอริทึมการเข้ารหัสที่จะนำมาใช้ เครื่องไคลเอนต์จะเริ่มต้น handshake นี้ด้วยข้อความ Client Hello ซึ่งระบุชุดการเข้ารหัสหรืออัลกอริทึมการเข้ารหัสที่เครื่องไคลเอนต์รองรับ จากนั้นเซิร์ฟเวอร์จะตอบกลับด้วยข้อความ Server Hello ภายในข้อความนี้ประกอบด้วยตัวเลือกรหัสลับตามรายการการเข้ารหัสที่รองรับที่ไคลเอนต์ส่งมาให้

เมื่อผู้ใช้เชื่อมต่อกับเว็บไซต์บนเครือข่ายของ Cloudflare สิ่งที่เกิดขึ้นคือ Cloudflare จะทำหน้าที่เลือกรหัสลับ ซึ่งก่อนหน้านี้เราเคยพูดถึง วิธีที่เซิร์ฟเวอร์ของ Cloudflare เลือกการเข้ารหัสบางตัว ตัวอย่างเช่น เราให้ความสำคัญกับการเข้ารหัสที่ใช้ ECDHE มากกว่าที่ขึ้นต้นด้วย RSA ทั้งนี้ RSA ที่เคยพูดถึงในบล็อกโพสต์ก่อนหน้านี้ มีความอ่อนไหวต่อช่องโหว่ด้านความปลอดภัยมากกว่า โดยเฉพาะอย่างยิ่งหากคีย์ส่วนตัวของเซิร์ฟเวอร์ SSL เกิดรั่ว

ในขณะที่การจัดลำดับให้การเข้ารหัสบางตัวมีความสำคัญมากกว่าบางตัวคือการส่งมอบความปลอดภัยในระดับที่สูงขึ้น เราก็ได้ก้าวไปอีกขั้นและทำให้ลูกค้าสามารถเลือกรายการรหัสลับที่อนุมัติ ของ Cloudflare ที่ต้องการให้เว็บไซต์สนับสนุน สำหรับผู้ที่ต้องการลบรหัสที่ไม่รัดกุมและอนุญาตให้มีแค่รหัสที่รัดกุมที่สุดเท่านั้น ตอนนี้สามารถทำได้ผ่านการเรียก API เพียงครั้งเดียว หากต้องการดำเนินการนี้ ผู้ใช้จะใช้ปลายทางการตั้งค่าชุดการเข้ารหัส และระบุรายการที่อนุญาตของการเข้ารหัสเพื่อยกเลิก TLS

ลูกค้า เช่น OneTrust และ Report URI ใช้ฟังก์ชันนี้เพื่อปรับปรุงรูปแบบความปลอดภัยของตน:

Advanced Certificate Manager ช่วยทำให้วิธีจัดการใบรับรองในโดเมนต่าง ๆ ของเราง่ายขึ้น พร้อม ๆ กับช่วยให้เราปฏิบัติตามข้อกำหนดด้านความปลอดภัยที่เข้มงวด ความสามารถในการจัดการชุดการเข้ารหัส รวมถึงการต่ออายุอัตโนมัติภายในพารามิเตอร์ของเรา สร้างขึ้นรองรับสภาพแวดล้อมที่พร้อมใช้งานและปลอดภัย
- Colin Henderson, หัวหน้าฝ่ายความปลอดภัยของข้อมูล, OneTrust
เราใช้ Advanced Certificate Manager เพื่อควบคุมชุดการเข้ารหัสที่ใช้ในการเชื่อมต่อ TLS ของเราอย่างเข้มงวด และเพื่อลดอายุการใช้งานของใบรับรองที่ออกสำหรับโดเมนของเรา ทั้งชุดการเข้ารหัสที่รัดกุมและใบรับรองที่สั้นลงจะช่วยให้เราปกป้องการเชื่อมต่อเข้ากับไซต์ของเราและข้อมูลภายในได้ดียิ่งขึ้น
- Scott Helme, ผู้ก่อตั้ง, Report URI

คำขอลงนามแบบกำหนดเอง

ลูกค้าบางรายต้องการรับใบรับรอง SSL ของตนเองจากผู้ออกใบรับรอง (CA) แต่ต้องการให้ Cloudflare สร้างและจัดเก็บคีย์ส่วนตัวที่เกี่ยวข้อง ตอนนี้ลูกค้าเหล่านี้สามารถใช้ Advanced Certificate Manager เพื่อสร้าง Certificate Signing Request (CSR) พร้อมข้อมูลของตน เช่น ชื่อองค์กร ที่ตั้ง ฯลฯ ก่อนนำไปรวมไว้กับ CA ที่ต้องการ รับใบรับรอง และอัปโหลดไปยัง Cloudflare โดย Cloudflare ให้ความสำคัญกับการจัดการคีย์อย่างจริงจัง ทั้งซอฟต์แวร์การจัดการคีย์ที่มีความปลอดภัยสูงและการควบคุมฮาร์ดแวร์ นอกจากนั้น การสนับสนุน CSR จะช่วยให้ลูกค้าได้รับใบรับรองจาก CA ที่พวกเขาเลือก โดยไม่ต้องมีคีย์ส่วนตัวออกจากเครือข่ายของเรา ซึ่งจะทำให้ลูกค้าไม่ต้องกังวลกับการจัดการที่ไม่ปลอดภัยใด ๆ

คุณลักษณะเพิ่มเติม

นอกเหนือจากคุณสมบัติด้านความปลอดภัยที่ ACM มีให้แล้ว เรารู้สึกตื่นเต้นที่จะนำเสนอโซลูชันการจัดการใบรับรองที่ใช้งานง่ายและกำหนดค่าได้ให้กับลูกค้า ลูกค้าสามารถใช้ ACM เพื่อออกใบรับรองเซิร์ฟเวอร์ Edge ได้ถึง 100 ใบรับรองต่อหนึ่งโซน ซึ่งรวมถึงเอเพ็กซ์โซนและชื่อโฮสต์สูงสุด 50 ชื่อ ซึ่งหมายความว่าขณะนี้ใบรับรองของคุณมีการรองรับหลายระดับ คุณจึงสร้างใบรับรองสำหรับชื่อโฮสต์ระดับที่สองและสามได้ นอกจากนี้ ลูกค้าจะสามารถเลือกวิธีการตรวจสอบที่ต้องการได้ (HTTP, TXT หรืออีเมล) และยังสามารถเลือกผู้ออกใบรับรอง (Let's Encrypt หรือ Digicert) ได้อีกด้วย

เมื่อเทียบกับ CDN ก่อนหน้าของเรา การใช้ Cloudflare ทำให้เรามีข้อได้เปรียบในการสร้างและดูแลรักษาใบรับรอง Wildcard ได้แบบตลอดชีพ และ Cloudflare จะทำทุกอย่างให้คุณได้ด้วยโค้ด Terraform เพียงไม่กี่บรรทัด
- Nikita Ponomarev, วิศวกร DevOps ประจำ Spark Networks

หากต้องการเรียนรู้วิธีกำหนดค่าการตั้งค่า ACM ให้ดูที่เอกสารสำหรับนักพัฒนาของเรา

การอัปเกรดจากใบรับรองเฉพาะ

สำหรับลูกค้าของเราที่เคยใช้ใบรับรองเฉพาะ เรารู้สึกตื่นเต้นที่จะประกาศว่าเราจะอัปเกรดเป็น Advanced Certificate Manager ในเดือนหน้า

การดำเนินการนี้จะไม่มีการปิดการทำงานของระบบโดยเด็ดขาด และคุณควรจะได้เห็นใบรับรองของคุณในแดชบอร์ดเปลี่ยนจากประเภท Dedicated เป็น Advanced

นอกจากนั้น หากคุณเคยใช้ API ของเราเพื่อออกใบรับรองเฉพาะ คุณจะต้องเปลี่ยนไปใช้ API endpoint การออกใบรับรอง ACM ใหม่ การเปลี่ยนแปลงจุดหนึ่งที่ควรสังเกตให้ดีคือในฟิลด์การตอบกลับของ API ค่า "type" เปลี่ยนจาก "Dedicated" เป็น "Advanced"

{
  "success": true,
  "errors": [],
  "messages": [],
  "result": {
    "id": "3822ff90-ea29-44df-9e55-21300bb9419b",
    "type": "advanced",
    "hosts": [
      "example.com",
      "*.example.com",
      "www.example.com"
    ],
    "status": "initializing",
    "validation_method": "txt",
    "validity_days": 365,
    "certificate_authority": "digicert",
    "cloudflare_branding": false
  }
}

ลูกค้าที่ซื้อใบรับรองเฉพาะไปแล้วจะรวมเข้ากับราคาในปัจจุบัน สำหรับลูกค้า Free, Pro และ Business รายอื่น ๆ ทั้งหมด Advanced Certificate Manager จะมีค่าใช้จ่าย 10 ดอลลาร์/เดือนต่อโซน ซึ่งหมายความว่าลูกค้าจะได้รับประโยชน์ทั้งหมดจากใบรับรองเฉพาะพร้อมคุณสมบัติที่ ACM นำเสนอโดยไม่มีค่าใช้จ่ายเพิ่มเติม

หากคุณเป็นลูกค้าองค์กรที่สนใจ Advanced Certificate Manager โปรดติดต่อทีมบริการลูกค้าของคุณ