Cloudflare宣布即日起API平台拒绝所有HTTP连接 开发者必须采用HTTPS加密
山外的鸭子哥
#科技资讯 Cloudflare 宣布即日起 API 平台拒绝所有 HTTP 连接,开发者必须使用 HTTPS 请求才能正常与 API 平台连接。以前 Cloudflare 会将 HTTP 重定向到 HTTPS,但这仍然存在中间人劫持风险,所以现在 Cloudflare 直接从底层禁止 HTTP 连接。查看全文:https://ourl.co/108504
网络服务提供商 Cloudflare 日前宣布关闭 API 平台的所有 HTTP 连接,即日起无论是何种类型的 API 请求都必须通过 HTTPS 加密协议发送,如果使用 HTTP 协议则会没有响应。
拒绝 HTTP 明文连接主要是用来提升安全性,避免开发者将凭证数据通过 HTTP 协议传送 (即使是意外发送 HTTP 请求),Cloudflare 不会提供 HTTP 跳转到 HTTPS。
有趣的是 Cloudflare 也不会向开发者返回 403 Forbidden 响应,因为 Cloudflare 是通过完全关闭 HTTP 接口来阻止建立底层连接,也就是 80 端口压根不接受数据。
以前 API 平台确实允许发送 HTTP 请求并自动重定向到 HTTPS 请求,但 Cloudflare 认为这种方式仍然不够安全,索性直接禁止所有 HTTP 连接确保安全性。
以上变更仅适用于 api.Cloudflare.com,受影响的也主要是开发者们,开发者可以通过 API 平台操作解析、开启或关闭功能、添加或修改域名等等。
因此在禁用后所有依赖于 HTTP API 服务的开发者、脚本、机器人和工具都将崩溃,这些必须由开发者进行调整将协议切换到 HTTPS,但即便如此可能还有些遗留项目会受影响。
为了解决由于配置不当、系统不支持、没有默认采用 HTTPS 的遗留系统或自动化客户端、物联网设备以及低级设备可能出错的问题,Cloudflare 计划在年底推出一个免费选项,以更安全的方式禁用 HTTP 流量。
根据 Cloudflare 的统计,在该平台的所有互联网流量中,约有 2.4% 的流量仍然通过 HTTP 协议进行,如果将自动流量考虑在内,HTTP 占比会达到 17%。
