CloudFlareは、暗号化されていないすべてのHTTP接続をAPIにブロックします

暗号化されたHTTPS接続のみが許可されます。この尺度は、無担保接続を介して機密データが漏れないようにすることを目的としています。

Cloudflare has recently blocked all non-encrypted HTTP connections to its APIs via api.cloudflare.com by default. Only encrypted HTTPS connections are now allowed. The measure is intended to prevent sensitive data from leaking through unsecured connections.

CloudFlareは最近、デフォルトでAPI.Cloudflare.comを介してAPIへのすべての非暗号化HTTP接続をブロックしました。暗号化されたHTTPS接続のみが許可されます。この尺度は、無担保接続を介して機密データが漏れないようにすることを目的としています。

Cloudflare’s measure is aimed at the Cloudflare API. This helps developers and system administrators automate and manage their Cloudflare services. Among other things, it helps with the management of DNS records, configuring firewalls, protection against DDoS attacks, caching SSL settings, rolling out infrastructure, accessing data for analyses, managing zero-trust access and other security settings.

CloudFlareの尺度は、CloudFlare APIを対象としています。これにより、開発者とシステム管理者がCloudFlareサービスを自動化および管理するのに役立ちます。とりわけ、DNSレコードの管理、ファイアウォールの構成、DDOS攻撃に対する保護、SSL設定のキャッシュ、インフラストラクチャの展開、分析のためのデータへのアクセス、ゼロトラストアクセスの管理、その他のセキュリティ設定に役立ちます。

Until now, the API accepted both unencrypted HTTP connections and encrypted HTTPS connections. Connections with so-called cleartext HTTP ports ran the risk of sensitive information being leaked. This was the case because this traffic was not encrypted and could therefore easily be intercepted by internet providers, WiFi hotspot providers or hackers on the same network.

これまで、APIは暗号化されていないHTTP接続と暗号化されたHTTPS接続の両方を受け入れました。いわゆるClearText HTTPポートとの接続により、機密情報が漏れているリスクがありました。これは、このトラフィックが暗号化されていなかったため、同じネットワーク上のインターネットプロバイダー、WiFiホットスポットプロバイダー、またはハッカーによって簡単に傍受できるためです。

Servers tackle this HTTP traffic by redirecting it or rejecting it with a 403 response, forcing clients to use encrypted HTTPS connections. However, this can be too late for sensitive data. This data, for example an API token, may already have been sent in cleartext in the first client connection request. This data would then have been exposed at an earlier stage, before the server can redirect or reject the connection.

サーバーは、このHTTPトラフィックをリダイレクトするか、403の応答で拒否し、暗号化されたHTTPS接続を使用するように強制することにより、このHTTPトラフィックに取り組みます。ただし、これは機密データには遅すぎる場合があります。このデータは、たとえばAPIトークンなど、最初のクライアント接続要求で既にClearTextで送信されている可能性があります。このデータは、サーバーが接続をリダイレクトまたは拒否する前に、以前の段階で公開されていました。

Blocking HTTP traffic

HTTPトラフィックのブロック

Cloudflare wants to solve this problem once and for all and therefore closes off the entire HTTP interface to its API environment. This means blocking plaintext connections in the transport layer before any data has been exchanged. This means that only encrypted HTTPS connections are now possible.

CloudFlareは、この問題を完全に解決したいため、HTTPインターフェイス全体をAPI環境に閉じます。これは、データが交換される前に、輸送層のプレーンテキスト接続をブロックすることを意味します。これは、暗号化されたHTTPS接続のみが可能になることを意味します。

The new measure has major consequences for anyone who still uses unencrypted HTTP connections via the Cloudflare API Service. Bots, scripts and other tools that depend on this will no longer work.

新しい尺度は、CloudFlare APIサービスを介して暗号化されていないHTTP接続をまだ使用している人に大きな影響を与えます。これに依存するボット、スクリプト、その他のツールは機能しなくなります。

This also applies to other legacy systems, automated clients, IoT devices and other low-level clients that do not yet use HTTPS by default due to poor configurations.

これは、他のレガシーシステム、自動化されたクライアント、IoTデバイス、および構成が不十分なため、デフォルトではまだHTTPSを使用していない他の低レベルのクライアントにも適用されます。

Cloudflare itself indicates that approximately 2.4 percent of the internet traffic processed via its systems still uses the unsafe HTTP protocol. If automated traffic is included, this rises to 17 percent.

CloudFlare自体は、システムを介して処理されたインターネットトラフィックの約2.4％が、安全でないHTTPプロトコルを使用していることを示しています。自動トラフィックが含まれている場合、これは17％に上昇します。

Actions by customers

顧客による行動

Customers can check the ratio between HTTP and HTTPS traffic themselves in their Cloudflare dashboard. This allows them to estimate the extent to which the measure affects their environment.

顧客は、HTTPとHTTPSのトラフィック間の比率をCloudFlareダッシュボードで確認できます。これにより、尺度が環境に影響する程度を推定できます。

For users of websites that run on Cloudflare, the specialist will soon offer a free option until the end of this year to safely disable unencrypted HTTP traffic.

CloudFlareで実行されているWebサイトのユーザーの場合、専門家はすぐに、暗号化されていないHTTPトラフィックを安全に無効にするために、今年末まで無料のオプションを提供します。

See also: Cloudflare launches platform for real-time threat information

参照：CloudFlareは、リアルタイムの脅威情報のためのプラットフォームを起動します