HTTPS 전용 연결을 시행하기 위해 api.cloudflare.com에서 HTTP 포트를 닫습니다

명확한 텍스트 HTTP 포트를 통해 연결된 연결은 데이터가 암호화되지 않고 네트워크 중개자에 의해 인터셉트 될 수 있기 때문에 민감한 정보를 노출 위험에 빠뜨릴 위험이 있습니다.

Connections made over cleartext HTTP ports risk exposing sensitive information because the data is transmitted unencrypted and can be intercepted by network intermediaries, such as ISPs, Wi-Fi hotspot providers, or malicious actors on the same network. It’s common for servers to either redirect or return a 403 (Forbidden) response to close the HTTP connection and enforce the use of HTTPS by clients. However, by the time this occurs, it may be too late, because sensitive information, such as an API token, may have already been transmitted in cleartext in the initial client request. This data is exposed before the server has a chance to redirect the client or reject the connection.

CLEARTEXT HTTP 포트를 통해 연결된 연결은 데이터가 암호화되지 않은 전송되고 동일한 네트워크의 ISP, Wi-Fi 핫스팟 제공 업체 또는 악성 액터와 같은 네트워크 중개자가 인터셉트 할 수 있기 때문에 민감한 정보를 노출시킬 위험이 있습니다. 서버는 HTTP 연결을 닫고 클라이언트가 HTTPS 사용을 시행하기 위해 403 (금지) 응답을 리디렉션하거나 반환하는 것이 일반적입니다. 그러나 이것이 발생할 때까지 API 토큰과 같은 민감한 정보가 이미 초기 클라이언트 요청에서 ClearText로 전송되었을 수 있기 때문에 너무 늦을 수 있습니다. 이 데이터는 서버가 클라이언트를 리디렉션하거나 연결을 거부 할 기회가 있기 전에 노출됩니다.

A better approach is to refuse the underlying cleartext connection by closing the network ports used for plaintext HTTP, and that’s exactly what we’re going to do for our customers.

더 나은 접근 방식은 일반 텍스트 HTTP에 사용되는 네트워크 포트를 닫아 기본 클리어 텍스트 연결을 거부하는 것입니다. 이것이 바로 우리가 고객을 위해 할 일입니다.

Today we’re announcing that we’re closing all of the HTTP ports on api.cloudflare.com. We’re also making changes so that api.cloudflare.com can change IP addresses dynamically, in line with on-going efforts to decouple names from IP addresses, and reliably managing addresses in our authoritative DNS. This will enhance the agility and flexibility of our API endpoint management. Customers relying on static IP addresses for our API endpoints will be notified in advance to prevent any potential availability issues.

오늘 우리는 API.cloudflare.com의 모든 HTTP 포트를 닫고 있다고 발표했습니다. 또한 API.cloudflare.com이 IP 주소에서 이름을 해제하고 권위있는 DNS의 주소를 안정적으로 관리하기위한 지속적인 노력에 따라 IP 주소를 동적으로 변경할 수 있도록 변경을 변경합니다. 이것은 API 엔드 포인트 관리의 민첩성과 유연성을 향상시킬 것입니다. 잠재적 가용성 문제를 방지하기 위해 API 엔드 포인트의 정적 IP 주소에 의존하는 고객에게 미리 알림을받습니다.

In addition to taking this first step to secure Cloudflare API traffic, we’ll release the ability for customers to opt-in to safely disabling all HTTP port traffic for their websites on Cloudflare. We expect to make this free security feature available in the last quarter of 2025.

CloudFlare API 트래픽을 확보하기 위해이 첫 번째 단계를 수행하는 것 외에도 고객이 클라우드 플레어의 웹 사이트에 대한 모든 HTTP 포트 트래픽을 안전하게 비활성화 할 수있는 기능을 공개합니다. 우리는이 무료 보안 기능을 2025 년 마지막 분기에 제공 할 것으로 예상합니다.

We have consistently advocated for strong encryption standards to safeguard users’ data and privacy online. As part of our ongoing commitment to enhancing Internet security, this blog post details our efforts to enforce HTTPS-only connections across our global network.

우리는 사용자의 데이터 및 개인 정보 보호를 온라인으로 보호하기 위해 강력한 암호화 표준을 지속적으로 옹호했습니다. 인터넷 보안을 향상시키기위한 지속적인 노력의 일환 으로이 블로그 게시물은 글로벌 네트워크에서 HTTPS 전용 연결을 시행하려는 노력에 대해 자세히 설명합니다.

Understanding the problem

문제 이해

We already provide an “Always Use HTTPS” setting that can be used to redirect all visitor traffic on our customers’ domains (and subdomains) from HTTP (plaintext) to HTTPS (encrypted). For instance, when a user clicks on an HTTP version of the URL on the site (http://www.example.com), we issue an HTTP 3XX redirection status code to immediately redirect the request to the corresponding HTTPS version (https://www.example.com) of the page. While this works well for most scenarios, there’s a subtle but important risk factor: What happens if the initial plaintext HTTP request (before the redirection) contains sensitive user information?

우리는 이미 고객 도메인 (및 하위 도메인)에서 HTTP (일반 텍스트)에서 HTTPS (암호화)로 모든 방문자 트래픽을 리디렉션하는 데 사용할 수있는 "항상 HTTPS"설정을 제공합니다. 예를 들어, 사용자가 사이트에서 URL의 http 버전 (http://www.example.com)을 클릭하면 해당 HTTPS 버전 (https://www.example.com)에 요청을 즉시 리디렉션하기 위해 http 3xx 리디렉션 상태 코드를 발행합니다. 이것은 대부분의 시나리오에서 잘 작동하지만 미묘하지만 중요한 위험 요소가 있습니다. 초기 일반 텍스트 HTTP 요청 (리디렉션 전)에 민감한 사용자 정보가 포함되어 있으면 어떻게됩니까?

Initial plaintext HTTP request is exposed to the network before the server can redirect to the secure HTTPS connection.

초기 일반 텍스트 HTTP 요청은 서버가 보안 HTTPS 연결로 리디렉션되기 전에 네트워크에 노출됩니다.

Third parties or intermediaries on shared networks could intercept sensitive data from the first plaintext HTTP request, or even carry out a Monster-in-the-Middle (MITM) attack by impersonating the web server.

공유 네트워크의 제 3 자 또는 중개자는 첫 번째 일반 텍스트 HTTP 요청에서 민감한 데이터를 가로 채거나 웹 서버를 가장하여 MITM (Monster-in-the-Middle) 공격을 수행 할 수도 있습니다.

One may ask if HTTP Strict Transport Security (HSTS) would partially alleviate this concern by ensuring that, after the first request, visitors can only access the website over HTTPS without needing a redirect. While this does reduce the window of opportunity for an adversary, the first request still remains exposed. Additionally, HSTS is not applicable by default for most non-user-facing use cases, such as API traffic from stateless clients. Many API clients don’t retain browser-like state or remember HSTS headers they've encountered. It is quite common practice for API calls to be redirected from HTTP to HTTPS, and hence have their initial request exposed to the network.

HSTS (HTTP Strict Transport Security)가 첫 번째 요청 후 방문자가 리디렉션이 필요하지 않고 HTTP를 통해 웹 사이트에 액세스 할 수 있도록 하여이 문제를 부분적으로 완화 할 것인지 묻습니다. 이것은 대적의 기회의 창을 줄이지 만 첫 번째 요청은 여전히 ​​노출되어 있습니다. 또한 HSTS는 무국적 클라이언트의 API 트래픽과 같은 대부분의 비 사용자 대면 사용 사례에 대해 기본적으로 적용 할 수 없습니다. 많은 API 클라이언트는 브라우저와 유사한 상태를 유지하거나 그들이 겪은 HST 헤더를 기억하지 않습니다. API 호출이 HTTP에서 HTTP로 리디렉션되는 것은 매우 일반적인 관행이므로 초기 요청이 네트워크에 노출됩니다.

Therefore, in line with our culture of dogfooding, we evaluated the accessibility of the Cloudflare API (api.cloudflare.com) over HTTP ports (80, and others). In that regard, imagine a client making an initial request to our API endpoint that includes their secret API key. While we outright reject all plaintext connections with a 403 Forbidden response instead of redirecting for API traffic — clearly indicating that “Cloudflare API is only accessible over TLS” — this rejection still happens at the application layer. By that point, the API key may have already been exposed over the network before we can even reject the request. We do have a notification mechanism in place to alert customers and rotate their API keys accordingly, but a stronger approach would be to eliminate the exposure entirely. We have an opportunity to improve!

따라서, 우리의 도그 푸드 문화에 따라, 우리는 HTTP 포트 (80 및 기타)에 대한 CloudFlare API (API.cloudflare.com)의 접근성을 평가했습니다. 이와 관련하여 클라이언트가 비밀 API 키를 포함하는 API 엔드 포인트에 초기 요청을하는 것을 상상해보십시오. API 트래픽을 리디렉션하는 대신 403 금지 된 응답으로 모든 일반 텍스트 연결을 완전히 거부하지만“CloudFlare API는 TLS를 통해서만 액세스 할 수 있음”을 명확하게 나타냅니다.이 거부는 여전히 애플리케이션 계층에서 발생합니다. 이 시점까지 API 키는 요청을 거부하기 전에 네트워크를 통해 이미 노출되었을 수 있습니다. 우리는 고객에게 경고하고 그에 따라 API 키를 회전시키는 알림 메커니즘을 가지고 있지만 더 강력한 접근 방식은 노출을 완전히 제거하는 것입니다. 우리는 개선 할 기회가 있습니다!

A better approach to API security

API 보안에 대한 더 나은 접근 방식

Any API key or token exposed in plaintext on the public Internet should be considered compromised. We can either address exposure after it occurs or prevent it entirely. The reactive approach involves continuously tracking and revoking compromised credentials, requiring active management to rotate each one. For example, when a plaintext HTTP request is made to our API endpoints, we detect exposed tokens by scanning for 'Authorization' header values.

공개 인터넷에서 일반 텍스트로 노출 된 API 키 또는 토큰은 손상된 것으로 간주되어야합니다. 우리는 그것이 발생한 후에 노출을 해결하거나 완전히 방지 할 수 있습니다. 반응성 접근법은 손상된 자격 증명을 지속적으로 추적하고 취소하는 것이 포함되며, 적극적인 관리가 각각을 회전시켜야합니다. 예를 들어, API 엔드 포인트에 일반 텍스트 HTTP 요청이 이루어지면 '승인'헤더 값을 스캔하여 노출 된 토큰을 감지합니다.

In contrast, a preventive approach is stronger and more effective, stopping exposure before it happens. Instead of relying on the API service application to react after receiving potentially sensitive cleartext data, we can preemptively refuse the underlying connection at the transport layer

대조적으로, 예방 접근법은 더 강력하고 효과적이며, 노출이 발생하기 전에 노출을 막습니다. 잠재적으로 민감한 ClearText 데이터를 수신 한 후 API 서비스 애플리케이션에 의존하는 대신 전송 계층의 기본 연결을 선제 적으로 거부 할 수 있습니다.