Компания Cloudflare объявила о значительном усилении мер безопасности для своего API-интерфейса. С 20 марта 2025 года сервис api.cloudflare.com будет принимать исключительно защищенные HTTPS-соединения, полностью блокируя доступ по протоколу HTTP. Это решение направлено на предотвращение потенциальных утечек конфиденциальных данных через незащищенные соединения.

Технические аспекты и преимущества перехода на HTTPS

Ранее Cloudflare допускала использование как HTTP, так и HTTPS для доступа к API, перенаправляя или отклоняя незащищенные соединения. Однако даже при отклонении HTTP-запросов существовал риск компрометации чувствительной информации, такой как API-ключи и токены, до момента получения ответа от сервера. Новая политика предусматривает блокировку незащищенных соединений на транспортном уровне, исключая любую возможность передачи данных по незашифрованному каналу.

Влияние на существующие системы и пользователей

Переход исключительно на HTTPS затронет различные категории пользователей и систем. В первую очередь это коснется:

• Скриптов и ботов, использующих HTTP
• Устаревших систем без поддержки HTTPS
• IoT-устройств с неправильной конфигурацией
• Автоматизированных клиентов, не настроенных на использование защищенного протокола

Статистика и перспективы развития

По данным Cloudflare, около 2,4% обычного и почти 17% автоматизированного трафика все еще передается по протоколу HTTP. Компания планирует к концу года запустить бесплатную функцию, позволяющую пользователям самостоятельно отключать HTTP-трафик для своих ресурсов, что существенно повысит общий уровень безопасности в сети.

Данное обновление является важным шагом в направлении повышения безопасности веб-сервисов и защиты конфиденциальных данных. Организациям, использующим API Cloudflare, рекомендуется проверить свои системы на совместимость с HTTPS и при необходимости обновить конфигурацию для обеспечения бесперебойной работы сервисов.