正确配置Cloudflare CDN转发TLS流量

最新推荐文章于 2024-06-08 09:52:27 发布
最新推荐文章于 2024-06-08 09:52:27 发布
阅读量2.5k 收藏
点赞数
文章标签: 网络安全 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magikorb/article/details/125776060
版权

在一个使用tls在公网上传输数据的应用里,出现了以下症状:

1.如果使用挂靠在Cloudflare上的域名,应用在tls握手时会报告CN/CA错误(该应用由于特定原因,其信任的CA需要手动指定,不会信任其他来源的CA),原来指定的是应用服务端所使用的Lets Encrypt的CA。

2.把域名换成服务端的ip来绕过Cloudflare,工作就正常了。

在思考了半天后,终于发现了我犯的一个低级错误。

TLS流量和HTTP Plain流量不同,在被CDN转发的时候会被解密,在客户端和CDN进行TLS握手的时候,CDN会提交CDN服务器域名的证书,(在Cloudflare里称为Edge Certificates),该证书是签发给CDN服务器域名的,客户端一检查,发现CN和CA都和服务端对不上,就寄了。

在这种情况下,肯定不能再要求客户端去检查CN了(因为CDN服务器的域名是在频繁变动的),但如果想保持服务端的数据是使用TLS加密的,可以使用 Cloudflare的Origin Certificates功能。

Origin Certificates是由Cloudflare签发给服务端的证书,有效期默认特别长。将该证书添加到服务端代替原来的LetsEncrypt,从CDN出来去服务端的流量就会用这个证书进行TLS加密,过程大致如下。

客户端<===>Edge Cert<===>CDN服务器<===>Origin Cert<===>服务端

这样的过程,既利用了CDN,又实现了全程的TLS加密,满足了安全性和便捷性的要求。

另外开启Origin Certificates的时候,TLS的总设置应该调到Full或者Full Strict的位置,不然Origin Cetificates不能生效,从CDN到服务端的流量就不能受到TLS的保护。

在这种情况下如果要绕过CDN直接连接服务端,只需要让客户端信任Origin Certificates,然后打开Cloudflare DNS的Bypass或者用服务器ip直接连接就好了。

 

 

magikorb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网站搭建】cloudflare实现显示url转发(301永久转发
DanteKing的博客
10-13 7417
前言 1.由于我只有一台nginx服务器,那么想要实现一个服务器的多个网站的搭建,在html目录下建立多个文件夹,并用url转发使得不同的二级域名指向html文件夹下的不同子文件夹,这样做便能做到“多个网站”的效果。 2.url转发也能够使得一个网站拥有几个域名 比如wikipedia.com和wikipedia.net都指向了wikipedia.org。当你访问wikipedia.com或wikipedia.net的时候,跳转出来的页面是wikipedia.org的页面 3.重定向是带有状态码的响应,我
如何让cloudflare缓存html,CloudFlareCDN页面规则缓存设置教程
weixin_32287433的博客
06-26 1059
wordpress博客使用CloudFlareCDN来加速网站(页面规则缓存设置教程)此篇文章只讲wordpress站点使用CloudFlare CDN的页面规则教程。CloudFlareCDN有一个很好的特点就是可以整站缓存下来,但是整站缓存时我们是无法登陆后台的,新写的文章也无法预览。所以我们需要配置几条页面规则来让CloudFlare不缓存某些页面。CloudFlare免费版本支持3条页...
Cloudflare配置网站免费CDN加速使用教程
热门推荐
云计算
03-29 2万+
前言: 如果是云服务器配置CDN,可以参考下面的教程: 网站如何配置CDN加速?网站域名接入CDN加速的步骤 说到免费的CDN加速,很多人都知道Cloudflare,它可以免费CDN加速,同时也可以隐藏我们服务器的真实ip地址,还能免费开启攻击防御。 如何使用Cloudflare给网站免费CDN加速呢?步骤如下: 首先,进入cloudflare官网,点击进入 没有账号的话,点击网站页面右上角注册 ​ 登录之后,选择菜单“定价”下的“免费” ​ 接着,选择Free的选型,点击“添加..
探索云flare背后的IP:cloudflare-origin-ip工具详解
最新发布
gitblog_00010的博客
06-08 363
探索云flare背后的IP:cloudflare-origin-ip工具详解 项目地址:https://gitcode.com/gwen001/cloudflare-origin-ip 项目简介 在网络安全领域,Cloudflare作为一个强大的CDN和DDoS防护服务,为全球众多网站提供了保护。然而,有时我们可能需要了解被其保护的web应用的真实起源IP地址。这就是cloudflare-orig...
Cloudflare一键配置所有CDN
qq_45186002的博客
11-23 328
此 Python 脚本允许用户管理其 Cloudflare 账户中 DNS 记录的代理设置。具体来说,它提供了为给定域名的 DNS 记录启用或禁用代理状态的功能。
利用cloudflare让未备案域名自动转发至自己服务器地址
zyntxz的博客
09-27 5250
未备份域名转发到自己服务器
Cloudflare反代测速
08-11
Cloudflare是一家全球知名的网络安全和内容分发网络(CDN)服务提供商,它的主要功能包括网站保护、加速、DNS解析等。在"Cloudflare反代测速window环境"这个主题中,我们将聚焦于如何在Windows操作系统环境下,利用...
Cloudflare-Proxy-Server:Cloudflare代理服务器
05-01
当用户访问配置Cloudflare的网站时,请求首先会到达Cloudflare的最近的数据中心,而不是直接到达源服务器。这个过程称为“边缘处理”。Cloudflare会处理诸如缓存内容、验证DNS查询、执行安全检查等任务,然后将...
trellis-cloudflare-origin-ca:将Cloudflare Origin CA添加到Trellis作为SSL提供程序
01-31
3. **Cloudflare Origin CA**:Cloudflare的Origin CA服务允许你为服务器内部的网络流量(即Cloudflare到你的服务器之间的流量)创建和管理SSL证书。这增强了端到端的安全性,并且可以防止中间人攻击。 4. **HTTPS*...
Posh-Office365CloudFlare:在 CloudFlare配置 Office 365
06-14
2. **SSL/TLS 管理**:模块支持启用或禁用 CloudFlareSSL/TLS 设置,包括“灵活”、“全站”和“严格”模式,这有助于保护 Office 365 流量的安全。 3. **缓存优化**:CloudFlareCDN 功能可以缓存静态内容...
Cloudflare-DDNS
02-22
Cloudflare是一家提供广泛网络服务的公司,包括CDN(内容分发网络)、DNS解析、SSL/TLS加密等。通过Cloudflare-DDNS,用户可以将自家服务器的域名与Cloudflare的DNS服务连接,即使IP地址发生变化,也能确保域名始终...
Cloudflare免费CDN加速及防护
cel105302的专栏
02-13 9246
一般来讲,如果你的网站的空间放在香港或者国外的话,国内用户访问的速度会慢于那些空间放在国内的。站速度慢,使用cdn是最好的选择,国内也有很多免费CDN工具,都是需要网站备案后才能使用。网站没有备案的站长可以选择使用国外CDN工具,操作起来也没有我们想象的那么麻烦。   CloudFlare免费CDN加速使用教程:   1.有了cloudflare账户后,登录进去,然后点击「Add Site...
CloudFlare 造成重定向的次数过多
qq_39154864的博客
07-06 901
当网站开启了 CloudFlare 服务,用户访问我们的网站时,其实访问的离用户比较近的 Cloudflare 服务器,Cloudflare 再代理用户请求我们的源服务器,以达到加速和保护源服务器的目的。知道了循环重定向的原因,我们也就知道了怎么解决这个问题,通过测试,下面的两种设置方法都可以解决 Cloudflare 循环重定向的问题。Cloudflare 造成循环重定向的错误就出在了回源的过程中,造成这种错误的原因就是 http 和 https 之间的重定向。
转载——CDN(内容分发网络)
AmourHaiti的博客
09-15 522
CDN(内容分发网络) (来源于百度百科) 定义 CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信...
网络概念(DNS + CDN + TLS + Cloudflare +VPS + HTTPS)
MyFreeIT
05-19 800
这里写目录标题DNSCDNTLSCloudflare DNS Domain Name System,即域名系统,通过域名取代IP访问互联网。负责将域名和IP地址相互映射,在全球每个国家放置镜像服务器,是个分布式数据库。DNS使用UDP协议,端口为53,长度限制在63-253个字符。采用非加密的明文传输,并且对应答没有验证。防火墙正是利用明文传输和非应答验证,把管控的域名指向错误的IP,实现DNS的错误解析。 CDN Content Delivery Network,即内容分发网络,是内容存储和分发技术。在现
cdn转发防攻击_一个既可以加速又可以防御的CDN产品
weixin_36193839的博客
12-12 230
随着大流量平台的流行,CDN不再是少数网站的专享产品,而逐渐成为中小网站的普遍选择,市面上的CDN产品的也越来越多,我们该如何选择呢?云漫网络将为你提供一点建议。面对DDoS攻击,我们无非是是想一个既可以加速又可以防御的CDN产品,保障网站的访问稳定,而我们云漫网络的TTCDN恰巧符合你的要求,不仅如此我们还能够为网站运营解决这些问题:1.成本问题使用CDN加速可以实现网站的全国铺设,可以不用考虑...
cloudflare 关于tls 检测,发送未知message type字节
godtoy的逆向小屋
09-24 847
cloudflare 关于tls 检测,发送未知message type字节 当我尝试使用伪造chrome tls 指纹发送给cloudflare保护站点的时候,他返回给我一个未知的服务器握手数据报文,查找文档后发现RFC 5246 serverhello 中没有对这个message type定义:https://tools.ietf.org/html/rfc5246#section-7.4.1.3 ...
网络连接异常、网站服务器失去响应_新型DoS攻击或对使用了CDN的网站产生巨大威胁...
weixin_39788256的博客
12-01 298
在当今全球网络中,CDN服务扮演着很重要的角色,它的缓存系统可以极大缓解原网站的压力,并给访问者提供更好的网络体验。但近期,有安全研究人员发现了一种针对CDN缓存功能的DoS攻击——CPDoS,它有多种变体,不过基本都是通过恶意的HTTP请求头来实现。在攻击成功后,用户就无法正常访问那些使用了CDN的网站。通过缓存服务器进行DoSCPDoS瞄准了CDN中的缓存系统,它会向目标网站发送一个包含恶意请...
关于CloudFlare SSL/TLS 加密模式的详解以及301 Moved Permanently 报错出现的原因
qq_30499345的博客
02-24 3687
参考文档:Encryption modes · Cloudflare SSL docshttps://developers.cloudflare.com/ssl/origin-configuration/ssl-modes 1.关闭:完全关闭https,用户使用https重定向也会被强制重定向到http 2.灵活:用户访问时浏览器和cloudflare之间使用https,但服务器和cloudflare之间仍然使用http。这时候如果你的服务器的nginx配置了http会重定向到https的话,clo..
openwrt如何使用cloudflare cdn加速
09-12
您可以通过以下步骤在 OpenWrt 上使用 Cloudflare CDN 加速: 1. 首先,确保您的路由器已经安装和运行了 OpenWrt 固件。 2. 登录到 OpenWrt 的 Web 界面或通过 SSH 连接到路由器。 3. 在 Web 界面中,导航到 "Network" -> "Interfaces"。 4. 找到您要加速的网络接口,通常是 "WAN" 接口,然后点击 "Edit"。 5. 在 "General Setup" 选项卡中,找到 "Use custom DNS servers" 复选框,并将其选中。 6. 在 "DNS servers" 输入框中,输入 Cloudflare 的 DNS 服务器地址:1.1.1.1 和 1.0.0.1。 7. 保存并应用更改。 以上步骤将使路由器使用 Cloudflare 的 DNS 服务器来解析域名,从而加速网页加载速度。请注意,这只是使用 Cloudflare CDN 加速的一个简单方法,如果您需要更高级的配置,请参考 OpenWrt 的文档或 Cloudflare 的帮助中心。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值