Прощай, HTTP: Cloudflare ставит точку в эпохе небезопасных соединений
Больше никаких перенаправлений, только полная блокировка.
Компания Cloudflare объявила о полном отключении небезопасного протокола HTTP для доступа к своему API. Теперь любые попытки подключиться к «api.cloudflare[.]com» по незашифрованному каналу будут отклоняться ещё до установления соединения. Это означает, что сервер больше не будет перенаправлять HTTP-запросы на HTTPS — соединение попросту не состоится.
Такой шаг направлен на устранение даже теоретической возможности утечки чувствительных данных, которые могли бы быть переданы в незашифрованном виде до того, как сервер отклонит запрос или перенаправит его.
Ранее при попытке подключения по HTTP система могла выдать ответ 403 или направить пользователя на HTTPS, но даже в этих случаях информация, вроде токенов и API-ключей, успевала покинуть устройство клиента в открытом виде. Особенно опасной эта ситуация становилась в условиях публичных Wi-Fi-сетей, где перехват трафика возможен без особых усилий.
Теперь HTTP-интерфейс закрыт полностью, и соединение через него невозможно на уровне транспортного протокола. Разработчики и автоматизированные системы обязаны использовать исключительно HTTPS для работы с API. Cloudflare подчёркивает, что подключение без шифрования не будет даже рассматриваться сервером — оно будет отвергнуто сразу, без передачи каких-либо данных.
API Cloudflare активно используется для управления инфраструктурой: работы с DNS-записями, конфигурации брандмауэров, включения защиты от DDoS-атак, настройки кэширования, параметров SSL, доступа к аналитике и политике нулевого доверия. Обновление влияет на все сценарии, где до сих пор использовался HTTP, включая устаревшие скрипты, старые IoT-устройства и инструменты с некорректной настройкой протоколов.
Cloudflare отмечает, что среди всего интернет-трафика, проходящего через их систему, около 2,4% до сих пор осуществляется по HTTP. Если же учитывать только автоматизированный трафик, то доля HTTP вырастает до 17%. Именно такие случаи представляют наибольшую угрозу, так как боты и устаревшие клиенты часто не используют шифрование по умолчанию.
Для клиентов, размещающих сайты через Cloudflare, компания уже готовит бесплатный инструмент, способный безопасно отключать HTTP-трафик. До его выпуска (планируемого только на конец года) пользователи смогут отслеживать соотношение HTTP и HTTPS в своей статистике через раздел «Analytics & Logs > Traffic Served Over SSL» и заранее оценивать потенциальные последствия.
Такое решение усиливает защиту всей экосистемы Cloudflare, минимизируя риски утечек и создавая более безопасную среду для разработчиков и их пользователей. Это особенно актуально в условиях растущего числа атак, использующих уязвимости на раннем этапе соединения.