訂閱以接收新文章的通知:

Total TLS:您擁有的每個主機名稱的一鍵 TLS

2022-10-06

閱讀時間:3 分鐘
本貼文還提供以下語言版本:EnglishEspañol简体中文

今天,我們很高興地宣佈推出 Total TLS,這是一項一鍵式功能,將為我們客戶網域中的每個子網域頒發單獨的 TLS 憑證。

Total TLS: one-click TLS for every hostname you have

依預設,所有 Cloudflare 客戶都會獲得一個免費的 TLS 憑證,該憑證涵蓋其網域的頂點和萬用字元(example.com、*.example.com)。現在,藉助 Total TLS,客戶只需按一下即可獲得其所有子網域的額外覆蓋範圍!啟用后,客戶無需再擔心其預設 TLS 憑證未涵蓋的子網域的不安全連線錯誤,因為 Total TLS 會將繫結到子網域的所有流量保持加密。

Cloudflare 的 TLS 憑證產品入門

Universal SSL——「簡單」選項

2014 年,我們宣佈推出 Universal SSL——面向每位 Cloudflare 客戶的免費 TLS 憑證。Universal SSL 被建置為一個簡單的「一刀切」式解決方案。對於使用 Cloudflare 作為其權威 DNS 提供者的客戶,此憑證涵蓋頂點和萬用字元,例如 example.com 和 *.example.com。雖然 Universal SSL 憑證為大多數人提供了足夠的覆蓋範圍,但一些客戶有更深的子網域,例如 a.b.example.com,他們希望 TLS 覆蓋這些子網域。對於這些客戶,我們建置了 Advanced Certificate Manager,這是一個可自訂的憑證頒發平台,允許客戶頒發具有其所選主機名稱的憑證。

進階憑證——「可自訂」選項

對於需要靈活性和選擇的客戶,我們建置了進階憑證,這些憑證作為 Advanced Certificate Manager 的一部分提供。使用進階憑證,客戶能夠指定將包含在憑證中的確切主機名稱。

這意味著如果我的 Universal SSL 憑證不足,我可以使用進階憑證 UI 或 API 來請求涵蓋「a.b.example.com」和「a.b.c.example.com」的憑證。目前,我們允許客戶在進階憑證上放置最多 50 個主機名稱。唯一需要注意的是,客戶需要告訴我們要保護哪些主機名稱。

這看似微不足道,但我們的一些客戶有數以千計的子網域,他們希望保護這些子網域。我們客戶的子網域範圍從 a.b.example.com 到 a.b.c.d.e.f.example.com,要涵蓋這些子網域,客戶必須使用進階憑證 API 來告訴我們他們希望我們保護的主機名稱。像這樣的過程容易出錯,不易擴展,並且已被我們的一些最大客戶拒絕作為解決方案。

相反,客戶希望 Cloudflare 為他們頒發憑證。如果 Cloudflare 是 DNS 提供者,那麼 Cloudflare 應該知道哪些子網域需要保護。理想情況下,Cloudflare 會為每個透過 Cloudflare 網路代理其流量的子網域頒發 TLS 憑證。這就是 Total TLS 的用武之地。

Total TLS 橫空出世:簡單、可自訂且可擴展

Total TLS 是一個一鍵式按鈕,它向 Cloudflare 發出訊號,以自動為您網域中每個代理的 DNS 記錄頒發 TLS 憑證。啟用后,Cloudflare 將為每個代理的主機名稱頒發單獨的憑證。這樣,您可以根據需要新增任意數量的 DNS 記錄和子網域,而不必擔心它們是否會被 TLS 憑證覆蓋。

如果您有 a.b.example.com 的 DNS 記錄, 我們將頒發主機名稱為 a.b.example.com 的 TLS 憑證。如果您有 *.a.b.example.com 的萬用字元記錄,我們將為「*.a.b.example.com」頒發 TLS 憑證。下面是儀表板的「邊緣憑證」表格中的範例:

現已上市

Total TLS 現在已作為 Advanced Certificate Manager 的一部分提供,適用於使用 Cloudflare 作為權威 DNS 提供者的網域。將 Cloudflare 作為您的 DNS 提供者所能帶來的強大能力之一是,我們將始終代表您新增適當的網域控制驗證 (DCV) 記錄,以確保證書的成功頒發和更新。

啟用 Total TLS 很簡單,您可以透過 Cloudflare 儀表板或 API 來完成。在 Cloudflare 儀表板的 SSL/TLS 索引標籤中,導覽到 Total TLS。在那裡,選擇頒發 CA——Let's Encrypt、Google Trust Services 或 No Preference,如果您希望 Cloudflare 代表您選擇 CA,則按一下切換按鈕以啟用該功能。

但這並不是全部…

我們想要為客戶解決可見度這一痛點。透過查看支援工單和與客戶交談,我們意識到客戶並非始終瞭解他們的網域是否涵蓋在 TLS 憑證中,這個簡單的疏忽可能導致停機或錯誤。

為了防止這種情況發生,現在,如果我們看到客戶正在建立、檢視或編輯的代理 DNS 記錄沒有覆蓋它的 TLS 憑證,我們將警告每個客戶。這樣,我們的客戶可以在主機名稱公開可用之前獲得頒發的 TLS 憑證,從而防止訪客遇到此錯誤:

加入使命

在 Cloudflare 工作的我們喜歡建置有助於保護所有網際網路設備的產品。有興趣與我們一起完成這一使命嗎?加入團隊

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
SSLTLS安全性Advanced Certificate Manager

在 X 上進行關注

Dina Kozlov|@dinasaur_404
Cloudflare|@cloudflare

相關貼文

2024年10月08日 下午1:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...