について
訪問者があなたのドメインからコンテンツをリクエストすると、Cloudflareは最初にキャッシュからコンテンツを提供しようとします。この試みが失敗した場合、Cloudflareはオリジンウェブサーバーにコンテンツを取得するためのリクエスト、つまり origin pull を送信します。
認証されたオリジンプルは、これらの origin pulls がすべてCloudflareから来ることを保証します。言い換えれば、認証されたオリジンプルは、Cloudflareの外部からのHTTPSリクエストがあなたのオリジンからの応答を受け取らないことを保証します。
このブロックは、CloudflareのプロキシされていないDNSレコードへのリクエストにも適用されます。
Cloudflareは、Cloudflareとオリジンウェブサーバー間の接続を確立する際に、TLSクライアント証明書認証の追加レイヤーを加えることで認証されたオリジンプルを強制します。
詳細については、導入ブログ記事 ↗を参照してください。
詳細については、TLSハンドシェイクとは何か? ↗を参照してください。
標準TLSハンドシェイク
クライアント認証TLSハンドシェイク
認証されたオリジンプルがない場合、CloudflareはクライアントデバイスとCloudflare、そしてCloudflareとあなたのオリジン間で標準TLSハンドシェイクを行います。 これは、フルまたはフル(厳格)の暗号化モードが有効になっている場合でも当てはまります。
flowchart TD
accTitle: 認証されたオリジンプルなしの接続図
A[エンドユーザーが<code>example.com</code>をクエリ] --標準TLSハンドシェイク--> B[Cloudflareネットワーク]
B --標準TLSハンドシェイク--> C[オリジンサーバー]
D[外部デバイス] --標準TLSハンドシェイク ----> C
この認証の欠如は、あなたのオリジンがCloudflareの背後で保護されている場合でも、オリジンのIPアドレスを持つ攻撃者がHTTPSリクエストに対してあなたのオリジンから応答を受け取ることを意味します。
認証されたオリジンプルを使用すると、CloudflareはクライアントデバイスとCloudflare間で標準TLSハンドシェイクを行いますが、Cloudflareとあなたのオリジン間ではクライアント認証TLSハンドシェイクを行います。
flowchart TD
accTitle: 認証されたオリジンプルありの接続図
A[エンドユーザーが<code>example.com</code>をクエリ] --標準TLSハンドシェイク--> B[Cloudflareネットワーク]
B --クライアント認証TLSハンドシェイク--> C[オリジンサーバー]
D[外部デバイス] --標準TLSハンドシェイク -----x C
この追加の認証レイヤーは、Cloudflareの外部からのHTTPSリクエストがあなたのオリジンから応答を受け取らないことを保証します。