Компания Cloudflare объявила о значительном усилении мер безопасности для своего API-интерфейса. С 20 марта 2025 года сервис api.cloudflare.com будет принимать исключительно защищенные HTTPS-соединения, полностью блокируя доступ по протоколу HTTP. Это решение направлено на предотвращение потенциальных утечек конфиденциальных данных через незащищенные соединения.
Технические аспекты и преимущества перехода на HTTPS
Ранее Cloudflare допускала использование как HTTP, так и HTTPS для доступа к API, перенаправляя или отклоняя незащищенные соединения. Однако даже при отклонении HTTP-запросов существовал риск компрометации чувствительной информации, такой как API-ключи и токены, до момента получения ответа от сервера. Новая политика предусматривает блокировку незащищенных соединений на транспортном уровне, исключая любую возможность передачи данных по незашифрованному каналу.
Влияние на существующие системы и пользователей
Переход исключительно на HTTPS затронет различные категории пользователей и систем. В первую очередь это коснется:
- Скриптов и ботов, использующих HTTP
- Устаревших систем без поддержки HTTPS
- IoT-устройств с неправильной конфигурацией
- Автоматизированных клиентов, не настроенных на использование защищенного протокола
Статистика и перспективы развития
По данным Cloudflare, около 2,4% обычного и почти 17% автоматизированного трафика все еще передается по протоколу HTTP. Компания планирует к концу года запустить бесплатную функцию, позволяющую пользователям самостоятельно отключать HTTP-трафик для своих ресурсов, что существенно повысит общий уровень безопасности в сети.
Данное обновление является важным шагом в направлении повышения безопасности веб-сервисов и защиты конфиденциальных данных. Организациям, использующим API Cloudflare, рекомендуется проверить свои системы на совместимость с HTTPS и при необходимости обновить конфигурацию для обеспечения бесперебойной работы сервисов.