Минувшая неделя прошла для CloudFlare под девизом усиления криптозащиты соединений в ее глобальной CDN-сети. Компания открыла клиентам бесплатный доступ к таким нововведениям, как протокол TLS 1.3, функция Automatic HTTPS Rewrites (авторедирект с HTTP на HTTPS) и оппортунистическое шифрование. В настоящее время услугами CloudFlare пользуются владельцы свыше 2 млн сайтов и сервисов.

Крупнейший CDN-провайдер и ранее ратовал за крепкую и всем доступную криптозащиту. Достаточно вспомнить такие инициативы CloudFlare, как Universal SSL, внедрение бесключевого SSL и передовой комбинации шифров ChaCha20-Poly1305.

TLS 1.3 — новейшая версия этого протокола, используемого HTTPS-сервисами для шифрования и аутентификации соединений. Эксперты CloudFlare, принявшие участие в разработке TLS 1.3, утверждают, что его внедрение способно повысить не только надежность защиты, но и скорость загрузки страниц, особенно в мобильных сетях. TLS 1.3 позволяет сократить количество сообщений, необходимых для установки соединения, и с принятием этого стандарта каждое сообщение браузера будет передаваться на сервер CloudFlare всего за 50 мс. В итоге «медленные» сайты, которые обычно грузятся дольше 300 мс, получат заметное ускорение. По данным CloudFlare, поддержка TLS 1.3 уже введена в релизах Firefox и Chrome для разработчиков.

Запуск Automatic HTTPS Rewrites призван облегчить безопасный перевод на полноценный HTTPS тех клиентских сайтов, которые используют так называемый смешанный контент. Современные браузеры пытаются защитить пользователя от ненадежных HTTP-скриптов и картинок, блокируя загрузку первых и предупреждая о небезопасности вторых, по этой причине такие сайты нередко плохо работают.

В настоящее время ресурсы, доступные по HTTP, отображаются пользователю как «нейтральные», поэтому операторы HTTPS-сайтов со смешанным контентом предпочитают использовать HTTP, а не частичный HTTPS. Однако этот порядок скоро изменится: Google уже объявила, что с нового года Chrome начнет реагировать на HTTP-сайты как на ненадежные. Mozilla также работает над переводом своего браузера на HTTPS-only.

Активация Automatic HTTPS Rewrites на сайте, как пояснил Ник Салливан (Nick Sullivan) в блоге CloudFlare, позволит менять HTTP на HTTPS для всех сторонних ресурсов и динамически генерируемого контента, в принципе доступных по HTTPS, даже в том случае, если исходный код страницы диктует загрузку по HTTP. Новая функция даже сможет переписывать ссылки http:// как https:// там, где это возможно.

Чтобы осуществить безболезненный апгрейд, CloudFlare вооружилась списком HTTPS Everywhere от EFF и сведениями о поддержке HSTS, которыми оперирует Chrome. В скором времени компания также обзаведется собственным списком доменов, для которых включен HTTPS. Клиенты CloudFlare, работающие на WordPress, уже пользуются автоматическим редиректом, установив плагин, специально модифицированный CDN-провайдером.

Для тех случаев, когда подобная замена невозможна (к примеру, подгружаемая реклама размещена в домене, не поддерживающем HTTPS), CloudFlare отныне предлагает оппортунистическое шифрование. Эта веб-функция обеспечивает шифрованные соединения с HTTP-сайтами, хотя и не требует аутентификации. Серверы CloudFlare будут просто отдавать браузерам дополнительный заголовок, сообщающий о возможности подключения по HTTP/2. Этот протокол, поддерживаемый пока лишь в Firefox, способен уберечь пользователей от пассивной прослушки и ускорить загрузку сайтов. В скором времени CloudFlare также обещает ввести для таких каналов аутентификацию.

Категории: Главное, Кибероборона