今天,我們很高興地宣佈推出 Total TLS,這是一項一鍵式功能,將為我們客戶網域中的每個子網域頒發單獨的 TLS 憑證。
依預設,所有 Cloudflare 客戶都會獲得一個免費的 TLS 憑證,該憑證涵蓋其網域的頂點和萬用字元(example.com、*.example.com)。現在,藉助 Total TLS,客戶只需按一下即可獲得其所有子網域的額外覆蓋範圍!啟用后,客戶無需再擔心其預設 TLS 憑證未涵蓋的子網域的不安全連線錯誤,因為 Total TLS 會將繫結到子網域的所有流量保持加密。
Cloudflare 的 TLS 憑證產品入門
Universal SSL——「簡單」選項
2014 年,我們宣佈推出 Universal SSL——面向每位 Cloudflare 客戶的免費 TLS 憑證。Universal SSL 被建置為一個簡單的「一刀切」式解決方案。對於使用 Cloudflare 作為其權威 DNS 提供者的客戶,此憑證涵蓋頂點和萬用字元,例如 example.com 和 *.example.com。雖然 Universal SSL 憑證為大多數人提供了足夠的覆蓋範圍,但一些客戶有更深的子網域,例如 a.b.example.com,他們希望 TLS 覆蓋這些子網域。對於這些客戶,我們建置了 Advanced Certificate Manager,這是一個可自訂的憑證頒發平台,允許客戶頒發具有其所選主機名稱的憑證。
進階憑證——「可自訂」選項
對於需要靈活性和選擇的客戶,我們建置了進階憑證,這些憑證作為 Advanced Certificate Manager 的一部分提供。使用進階憑證,客戶能夠指定將包含在憑證中的確切主機名稱。
這意味著如果我的 Universal SSL 憑證不足,我可以使用進階憑證 UI 或 API 來請求涵蓋「a.b.example.com」和「a.b.c.example.com」的憑證。目前,我們允許客戶在進階憑證上放置最多 50 個主機名稱。唯一需要注意的是,客戶需要告訴我們要保護哪些主機名稱。
這看似微不足道,但我們的一些客戶有數以千計的子網域,他們希望保護這些子網域。我們客戶的子網域範圍從 a.b.example.com 到 a.b.c.d.e.f.example.com,要涵蓋這些子網域,客戶必須使用進階憑證 API 來告訴我們他們希望我們保護的主機名稱。像這樣的過程容易出錯,不易擴展,並且已被我們的一些最大客戶拒絕作為解決方案。
相反,客戶希望 Cloudflare 為他們頒發憑證。如果 Cloudflare 是 DNS 提供者,那麼 Cloudflare 應該知道哪些子網域需要保護。理想情況下,Cloudflare 會為每個透過 Cloudflare 網路代理其流量的子網域頒發 TLS 憑證。這就是 Total TLS 的用武之地。
Total TLS 橫空出世:簡單、可自訂且可擴展
Total TLS 是一個一鍵式按鈕,它向 Cloudflare 發出訊號,以自動為您網域中每個代理的 DNS 記錄頒發 TLS 憑證。啟用后,Cloudflare 將為每個代理的主機名稱頒發單獨的憑證。這樣,您可以根據需要新增任意數量的 DNS 記錄和子網域,而不必擔心它們是否會被 TLS 憑證覆蓋。
如果您有 a.b.example.com 的 DNS 記錄, 我們將頒發主機名稱為 a.b.example.com 的 TLS 憑證。如果您有 *.a.b.example.com 的萬用字元記錄,我們將為「*.a.b.example.com」頒發 TLS 憑證。下面是儀表板的「邊緣憑證」表格中的範例:
現已上市
Total TLS 現在已作為 Advanced Certificate Manager 的一部分提供,適用於使用 Cloudflare 作為權威 DNS 提供者的網域。將 Cloudflare 作為您的 DNS 提供者所能帶來的強大能力之一是,我們將始終代表您新增適當的網域控制驗證 (DCV) 記錄,以確保證書的成功頒發和更新。
啟用 Total TLS 很簡單,您可以透過 Cloudflare 儀表板或 API 來完成。在 Cloudflare 儀表板的 SSL/TLS 索引標籤中,導覽到 Total TLS。在那裡,選擇頒發 CA——Let's Encrypt、Google Trust Services 或 No Preference,如果您希望 Cloudflare 代表您選擇 CA,則按一下切換按鈕以啟用該功能。
但這並不是全部…
我們想要為客戶解決可見度這一痛點。透過查看支援工單和與客戶交談,我們意識到客戶並非始終瞭解他們的網域是否涵蓋在 TLS 憑證中,這個簡單的疏忽可能導致停機或錯誤。
為了防止這種情況發生,現在,如果我們看到客戶正在建立、檢視或編輯的代理 DNS 記錄沒有覆蓋它的 TLS 憑證,我們將警告每個客戶。這樣,我們的客戶可以在主機名稱公開可用之前獲得頒發的 TLS 憑證,從而防止訪客遇到此錯誤:
加入使命
在 Cloudflare 工作的我們喜歡建置有助於保護所有網際網路設備的產品。有興趣與我們一起完成這一使命嗎?加入團隊!