Cloudflare офіційно припиняє підтримку всіх HTTP-портів для api.cloudflare.com, щоб ліквідувати потенційні ризики витоку даних, зумовлені незашифрованим трафіком. Тепер усі API-запити дозволені виключно через HTTPS, що забезпечує захист API-токенів від перехоплення.
Компанія пояснює, що навіть за умови автоматичного перенаправлення з HTTP на HTTPS, секретні дані могли на короткий час передаватися незашифрованими каналами. Це створювало вразливість, яку потенційно могли використати зловмисники, інтернет-провайдери або навіть громадські Wi-Fi-мережі.
Для унеможливлення таких загроз, Cloudflare впроваджує блокування HTTP-з’єднань на рівні транспортного протоколу, застосовуючи iptables, а не просто використовуючи стандартні HTTP-відповіді, наприклад, 403 Forbidden. Це означає, що TCP-з’єднання взагалі не буде встановлено.
На цей момент блокування стосується лише api.cloudflare.com, проте в четвертому кварталі 2025 року Cloudflare надасть клієнтам можливість відключити HTTP-порти для власних доменів через панель керування або API.
Незважаючи на поширену практику переспрямування HTTP на HTTPS, приблизно 2-3% реальних користувачів та 16% автоматизованого трафіку все ще використовували HTTP-запити до серверів Cloudflare. У відповідь на ці ризики компанія прийняла рішення цілковито відмовитися від HTTP-портів. Блокування HTTP також передбачає поступову відмову api.cloudflare.com від статичних IP-адрес, а також відключення підтримки клієнтів без SNI, частка яких становить лише 0,55% від усіх з’єднань.
Цей крок Cloudflare являє собою значне посилення безпеки у глобальній мережі, ліквідуючи вразливості, пов’язані з незашифрованими API-запитами. У перспективі компанія планує надати цей захист усім своїм клієнтам. Адміністраторам радиться відслідковувати HTTP-запити в Cloudflare Analytics перед активацією блокування.
126 
137 
140 