Schließen Sie HTTP-Ports auf api.cloudflare.com, um HTTPS-Verbindungen durchzusetzen

Verbindungen über ClearText -HTTP -Ports riskieren Risiko, sensible Informationen aufzudecken, da die Daten unverschlüsselt übertragen werden und von Netzwerkintermediären abgefangen werden können

Connections made over cleartext HTTP ports risk exposing sensitive information because the data is transmitted unencrypted and can be intercepted by network intermediaries, such as ISPs, Wi-Fi hotspot providers, or malicious actors on the same network. It’s common for servers to either redirect or return a 403 (Forbidden) response to close the HTTP connection and enforce the use of HTTPS by clients. However, by the time this occurs, it may be too late, because sensitive information, such as an API token, may have already been transmitted in cleartext in the initial client request. This data is exposed before the server has a chance to redirect the client or reject the connection.

Verbindungen über ClearText-HTTP-Ports riskieren, sensible Informationen aufzudecken, da die Daten unverschlüsselt übertragen werden und von Netzwerkintermediären wie ISPs, Wi-Fi-Hotspot-Anbietern oder böswilligen Akteuren im selben Netzwerk abgefangen werden können. Es ist üblich, dass Server eine 403 (verbotene) Antwort umleiten oder zurückleiten oder zurückgeben, um die HTTP -Verbindung zu schließen und die Verwendung von HTTPS durch Clients durchzusetzen. Bis zu diesem Zeitpunkt kann es jedoch zu spät sein, da sensible Informationen wie ein API -Token möglicherweise bereits in ClearText in der anfänglichen Client -Anforderung übertragen wurden. Diese Daten werden ausgesetzt, bevor der Server die Möglichkeit hat, den Client umzuleiten oder die Verbindung abzulehnen.

A better approach is to refuse the underlying cleartext connection by closing the network ports used for plaintext HTTP, and that’s exactly what we’re going to do for our customers.

Ein besserer Ansatz ist es, die zugrunde liegende ClearText -Verbindung zu verweigern, indem die für Plaintext HTTP verwendeten Netzwerkports geschlossen werden. Genau das tun wir für unsere Kunden.

Today we’re announcing that we’re closing all of the HTTP ports on api.cloudflare.com. We’re also making changes so that api.cloudflare.com can change IP addresses dynamically, in line with on-going efforts to decouple names from IP addresses, and reliably managing addresses in our authoritative DNS. This will enhance the agility and flexibility of our API endpoint management. Customers relying on static IP addresses for our API endpoints will be notified in advance to prevent any potential availability issues.

Heute kündigen wir an, dass wir alle HTTP -Ports auf api.cloudflare.com schließen. Wir nehmen auch Änderungen vor, damit api.cloudflare.com IP-Adressen dynamisch ändern kann, entsprechend den laufenden Bemühungen, Namen von IP-Adressen zu entkoppeln und Adressen in unseren maßgeblichen DNs zuverlässig zu verwalten. Dies wird die Beweglichkeit und Flexibilität unseres API -Endpunktmanagements verbessern. Kunden, die sich auf statische IP -Adressen für unsere API -Endpunkte verlassen, werden im Voraus benachrichtigt, um potenzielle Verfügbarkeitsprobleme zu vermeiden.

In addition to taking this first step to secure Cloudflare API traffic, we’ll release the ability for customers to opt-in to safely disabling all HTTP port traffic for their websites on Cloudflare. We expect to make this free security feature available in the last quarter of 2025.

Zusätzlich zu diesem ersten Schritt, um den CloudFlare-API-Verkehr zu sichern, werden Kunden die Möglichkeit für die Sicherung der sicheren Deaktivierung aller HTTP-Portverkehr für ihre Websites auf CloudFlare veröffentlichen. Wir gehen davon aus, dass diese kostenlose Sicherheitsfunktion im letzten Quartal 2025 verfügbar ist.

We have consistently advocated for strong encryption standards to safeguard users’ data and privacy online. As part of our ongoing commitment to enhancing Internet security, this blog post details our efforts to enforce HTTPS-only connections across our global network.

Wir haben uns konsequent für starke Verschlüsselungsstandards eingesetzt, um die Daten und die Privatsphäre der Benutzer online zu schützen. Im Rahmen unseres kontinuierlichen Engagements zur Verbesserung der Internetsicherheit beschreibt dieser Blog unsere Bemühungen zur Durchsetzung von HTTPS-Verbindungen in unserem globalen Netzwerk.

Understanding the problem

Das Problem verstehen

We already provide an “Always Use HTTPS” setting that can be used to redirect all visitor traffic on our customers’ domains (and subdomains) from HTTP (plaintext) to HTTPS (encrypted). For instance, when a user clicks on an HTTP version of the URL on the site (http://www.example.com), we issue an HTTP 3XX redirection status code to immediately redirect the request to the corresponding HTTPS version (https://www.example.com) of the page. While this works well for most scenarios, there’s a subtle but important risk factor: What happens if the initial plaintext HTTP request (before the redirection) contains sensitive user information?

Wir bieten bereits eine Einstellung „Immer immer https verwenden“, mit der alle Besucherverkehr in den Domänen (und Subdomains) unserer Kunden von HTTP (PlainText) auf HTTPS (verschlüsselt) umgeleitet werden können. Wenn ein Benutzer beispielsweise auf eine HTTP -Version der URL auf der Website klickt (http://www.example.com), geben wir einen HTTP 3xx -Umleitungstatuscode aus, um die Anforderung an die entsprechende HTTPS -Version (https://www.example.com) sofort umzuleiten) des Seites. Während dies für die meisten Szenarien gut funktioniert, gibt es einen subtilen, aber wichtigen Risikofaktor: Was passiert, wenn die anfängliche Klartext -HTTP -Anforderung (vor der Umleitung) sensible Benutzerinformationen enthält?

Initial plaintext HTTP request is exposed to the network before the server can redirect to the secure HTTPS connection.

Die anfängliche Klartext -HTTP -Anforderung wird dem Netzwerk ausgesetzt, bevor der Server auf die sichere HTTPS -Verbindung umleiten kann.

Third parties or intermediaries on shared networks could intercept sensitive data from the first plaintext HTTP request, or even carry out a Monster-in-the-Middle (MITM) attack by impersonating the web server.

Dritte oder Vermittler in gemeinsam genutzten Netzwerken könnten sensible Daten aus der ersten HTTP-Anfrage der ersten Plaintext abfangen oder sogar einen Angriff auf das Monster-in-the-Middle (MIDDL) durchführen, indem er den Webserver ausgab.

One may ask if HTTP Strict Transport Security (HSTS) would partially alleviate this concern by ensuring that, after the first request, visitors can only access the website over HTTPS without needing a redirect. While this does reduce the window of opportunity for an adversary, the first request still remains exposed. Additionally, HSTS is not applicable by default for most non-user-facing use cases, such as API traffic from stateless clients. Many API clients don’t retain browser-like state or remember HSTS headers they've encountered. It is quite common practice for API calls to be redirected from HTTP to HTTPS, and hence have their initial request exposed to the network.

Man kann sich fragen, ob HTTP Strict Transport Security (HSTS) diese Besorgnis teilweise verringern würde, indem sie sicherstellen, dass Besucher nach der ersten Anfrage nur über HTTPS auf die Website zugreifen können, ohne eine Umleitung zu benötigen. Dies verringert zwar das Fenster der Chancen für einen Gegner, aber die erste Anfrage bleibt weiterhin freigelegt. Darüber hinaus gilt HSTS für die meisten nichtbenutzergerichteten Anwendungsfälle nicht standardmäßig, z. B. API-Verkehr von Staatenlosen Clients. Viele API-Kunden behalten einen Browser-ähnlichen Zustand und erinnern sich nicht an HSTS-Header, die sie begegnet sind. Es ist weit verbreitet, dass API -Aufrufe von HTTP in HTTPS umgeleitet werden und daher deren erste Anfrage dem Netzwerk ausgesetzt sind.

Therefore, in line with our culture of dogfooding, we evaluated the accessibility of the Cloudflare API (api.cloudflare.com) over HTTP ports (80, and others). In that regard, imagine a client making an initial request to our API endpoint that includes their secret API key. While we outright reject all plaintext connections with a 403 Forbidden response instead of redirecting for API traffic — clearly indicating that “Cloudflare API is only accessible over TLS” — this rejection still happens at the application layer. By that point, the API key may have already been exposed over the network before we can even reject the request. We do have a notification mechanism in place to alert customers and rotate their API keys accordingly, but a stronger approach would be to eliminate the exposure entirely. We have an opportunity to improve!

Daher haben wir in Übereinstimmung mit unserer Kultur des Hundefuts die Zugänglichkeit der Cloudflare -API (api.cloudflare.com) über HTTP -Ports (80 und andere) bewertet. Stellen Sie sich in dieser Hinsicht einen Kunden vor, der einen ersten Antrag auf unseren API -Endpunkt stellt, der seinen geheimen API -Schlüssel enthält. Während wir alle Klartextverbindungen mit einer 403 verbotenen Reaktion ablehnen, anstatt für den API -Verkehr umzuleiten - was deutlich darauf hinweist, dass „Cloudflare -API nur über TLS zugänglich ist“ -, findet diese Ablehnung immer noch auf der Anwendungsschicht statt. Zu diesem Zeitpunkt wurde der API -Schlüssel möglicherweise bereits über das Netzwerk freigelegt, bevor wir die Anfrage überhaupt ablehnen können. Wir haben einen Benachrichtigungsmechanismus, um Kunden aufmerksam zu machen und ihre API -Schlüssel entsprechend zu drehen, aber ein stärkerer Ansatz wäre, die Exposition vollständig zu beseitigen. Wir haben die Möglichkeit zu verbessern!

A better approach to API security

Ein besserer Ansatz zur API -Sicherheit

Any API key or token exposed in plaintext on the public Internet should be considered compromised. We can either address exposure after it occurs or prevent it entirely. The reactive approach involves continuously tracking and revoking compromised credentials, requiring active management to rotate each one. For example, when a plaintext HTTP request is made to our API endpoints, we detect exposed tokens by scanning for 'Authorization' header values.

Jeglicher API -Schlüssel oder Token, das im Klartext im öffentlichen Internet ausgesetzt ist, sollte als kompromittiert angesehen werden. Wir können die Exposition entweder nach dem Auftreten angehen oder sie vollständig verhindern. Der reaktive Ansatz beinhaltet die kontinuierliche Verfolgung und Widerruf von kompromittierten Anmeldeinformationen, wodurch das aktive Management jeweils gedreht werden muss. Wenn beispielsweise eine Klartext -HTTP -Anforderung an unsere API -Endpunkte gestellt wird, erkennen wir exponierte Token, indem wir nach "Autorisierungs" -Headerwerten scannen.

In contrast, a preventive approach is stronger and more effective, stopping exposure before it happens. Instead of relying on the API service application to react after receiving potentially sensitive cleartext data, we can preemptively refuse the underlying connection at the transport layer

Im Gegensatz dazu ist ein vorbeugender Ansatz stärker und effektiver und stoppt die Exposition, bevor er passiert. Anstatt sich auf die API -Dienstanwendung zu verlassen, um nach dem Empfangen potenziell sensibler ClearText -Daten zu reagieren, können wir die zugrunde liegende Verbindung auf der Transportschicht präventiv ablehnen