廃止 - バージョン 1
SaaS向けSSLの最初のバージョンは2021年9月1日に廃止されます。
SaaS向けSSL v1では、カスタムホスト名のトラフィックが、SaaS向けSSLが有効なゾーンに割り当てられたIPアドレスに基づいてオリジンにプロキシされます。このIPベースのルーティングは、顧客がダウンタイムゼロで変更を行うことを妨げる複雑さをもたらします。
SaaS向けSSL v2では、IPベースのルーティングとその関連する問題が排除されます。代わりに、トラフィックはSaaSゾーンのカスタムホスト名に基づいてオリジンにプロキシされます。これにより、カスタムホスト名は、カスタムホスト名の作成後およびSSL証明書の検証に加えて、ホスト名検証ステップを通過する必要があります。これにより、SaaS向けSSL v1からのセキュリティ層が追加され、検証されたホスト名のみがオリジンにプロキシされることが保証されます。
サービスが中断されないようにするためには、すべての新しいカスタムホスト名に対して追加の所有権確認を行う必要があります。所有権を確認するための方法は3つあります:TXT、HTTP、およびCNAME。トラフィックがCloudflareのエッジによってプロキシされる前に、カスタムホスト名を検証するためにTXTとHTTPを使用してください。
TXTまたはHTTP検証方法を使用することで、移行中のダウンタイムを回避できます。CNAME検証を使用することを選択した場合、ドメインはバックオフスケジュールに遅れをとる可能性があります。
TXTメソッドを使用してカスタムホスト名を作成する際、所有権検証用のTXTレコードが顧客に提供され、DNSに追加して所有権検証を行います。TXTレコードが追加されると、カスタムホスト名はCloudflare SSL/TLSアプリのカスタムホスト名タブでアクティブとしてマークされます。
APIを通じてHTTPメソッドでカスタムホスト名を作成する際、HTTP所有権検証トークンが提供されます。HTTP検証は、主にHTTPSサポートを持つカスタムドメインの大規模な展開を持つ組織によって使用されます。オリジンのWebサーバーからHTTPトークンを提供することで、Cloudflareを通じてドメイントラフィックをプロキシする前にホスト名の検証が可能になります。
Cloudflareは、User-Agent: Cloudflare Custom Hostname Verificationを使用してhttp_urlにGETリクエストを送信します。
Cloudflareを通じてトラフィックをプロキシしていないホスト名を検証した場合、HTTPトークンが検証されると、カスタムホスト名はCloudflare SSL/TLSアプリのカスタムホスト名タブでアクティブとしてマークされます。
ホスト名がすでにCloudflareを通じてトラフィックをプロキシしている場合、HTTP検証だけでは不十分であり、DNSベースの検証が完了するまでホスト名はアクティブになりません。
CNAME検証を使用することもできますが、TXTまたはHTTP検証方法のいずれかを使用することをお勧めします。
カスタムホスト名は、Cloudflareがカスタムホスト名がSSL for SaaSドメイン用に設定されたフォールバックレコードを指すCNAMEレコードであることを検出した場合にも検証できます。この方法は最も簡単な検証方法ですが、エラーのリスクが高まります。CNAMEレコードはCloudflareのエッジにトラフィックをルーティングするため、カスタムホスト名が検証を完了する前にトラフィックがエッジに到達する可能性があります。
カスタムホスト名作成プロセスにホスト名検証ステップを追加してテストしたら、Cloudflareアカウントチームに連絡して、SSL for SaaS v1ゾーンの移行日をスケジュールしてください。Cloudflareアカウントチームは、ダウンタイムなしで既存のカスタムホスト名を検証するために協力します。
BYOIPアドレスとApexプロキシ用に設定されたIPアドレスの両方は、カスタムホスト名のDNS AレコードのターゲットとしてBYOIPアドレスまたはApexプロキシIPアドレスを持つことで、ホスト名検証を正常に完了させることができます。
SaaS向けSSL v2は、機能的にはSaaS向けSSL v1と同等ですが、Cloudflareのエッジで特定のAnycast IPアドレスを使用する要件と、SaaS向けSSLゾーンのCloudflareのユニバーサルSSL製品の要件を排除します。
ゾーンの移行が開始されると、Cloudflareはすべてのカスタムホスト名がホスト名検証チェックを通過することを要求します。DNS CNAMEレコードを使用してCloudflareにプロキシされている既存のカスタムホスト名は、自動的に再検証され、新しいバージョンにダウンタイムなしで移行されます。移行開始後に作成されたカスタムホスト名は、上記の検証方法のいずれかを使用してホスト名検証チェックを通過する必要があります。
移行前に、次のことを行うべきです:
- 検証方法をテストするために、テストゾーンを設定し、ソリューションエンジニア(SE)にSaaS向けSSL v2を有効にするよう依頼します。
- SEが事前移行ツールを実行するのを待ちます。このツールは、ホスト名を次のいずれかのステータスにグループ化します:
test_pending: 検証中または検証できずに再キューされた状態。カスタムホスト名は、test_failedステータスに移行する前に25回再キューされます。test_active: CNAME検証に合格test_active_apex: Apexプロキシ検証に合格test_blocked: ホスト名が禁止されたゾーンに属しているため、移行中にブロックされます。禁止されたカスタムホスト名を確認し、移行を進めるためにCSMに連絡してください。test_failed: 25回のホスト名検証に失敗
- ソリューションエンジニアが実行した事前移行ツールの結果を次のいずれかの方法で確認します:
- API経由で:
https://api.cloudflare.com/client/v4/zones/{zone_tag}/custom_hostnames?hostname_status={status} - CSVファイル(SEから提供)
- Cloudflareダッシュボード経由:
- API経由で:
- 移行を承認します。Cloudflareアカウントチームは、各SaaS向けSSLゾーンの移行ウィンドウをスケジュールするために協力します。
移行が開始され、ある程度進行した後、Cloudflareは移行に失敗したカスタムホスト名のリストを生成し、移行を完了するための承認を求めます。承認を与えると、移行が完了し、ゾーンのSaaS向けSSL v1が無効になり、ホスト名検証が完了していないカスタムホスト名は機能しなくなります。
移行のタイムラインは、カスタムホスト名の数によって異なります。たとえば、ゾーンに10,000未満のカスタムホスト名がある場合、移行開始から約1時間後にリストが生成されます。ゾーンに数百万のカスタムホスト名がある場合、成功裏に移行できなかったインスタンスを特定するのに最大24時間かかることがあります。
Cloudflareアカウントチームが移行を完了するための承認を求める際は、迅速に応答してください。残りのカスタムホスト名を検証するための2週間があります。それまでに検証されない場合、システム的に削除されます。
移行プロセスは2021年3月31日に開始され、最終的な廃止は2021年9月1日まで続きます。
2021年3月31日より前に移行プロセスを開始したい場合は、Cloudflareアカウントチームに連絡してください。彼らはプロセスを迅速化するために協力します。それ以外の場合、Cloudflareアカウントチームが移行ウィンドウの時間をお知らせし、ゾーンが2021年9月1日の終了日までに移行されるようにします。
質問がある場合は、CloudflareアカウントチームまたはSaaSv2@cloudflare.comに連絡してください。