暗号化モード
Your zone’s SSL/TLS Encryption Mode controls how Cloudflare manages two connections: one between your visitors and Cloudflare, and the other between Cloudflare and your origin server.
flowchart LR
accTitle: SSL/TLS Encryption mode
A[Browser] <--Connection 1--> B((Cloudflare))<--Connection 2--> C[(Origin server)]
可能であれば、Cloudflareは悪意のある接続をオリジンから防ぐために、フルまたはフル(厳密)モードの使用を強く推奨します。
暗号化モードがCloudflareのSSL/TLS保護の全体像にどのように適合するかについての詳細は、概念を参照してください。
自動SSL/TLSは、SSL/TLS推奨システムを使用して、ウェブサイトに設定するのに最も安全で安全な暗号化モードを決定します。オリジンの証明書や機能に基づいて、ウェブサイトにとってより安全なオプションがある場合、自動SSL/TLSはそれを見つけてドメインに適用します。もう一つのオプションであるカスタムSSL/TLSは、現在の暗号化モードの設定とまったく同じように機能します。
自動SSL/TLSは、SSL/TLS推奨システムを使用して、ウェブサイトに最も安全な暗号化モードを特定し適用します。トラフィックを継続的に評価し、オリジンの証明書や機能に基づいてより安全なオプションが必要かどうかを判断し、設定を自動的に更新してドメインの最高レベルのセキュリティを確保します。
Cloudflareは以下の日付に自動SSL/TLSを有効にします:
| プラン | SSL/TLS推奨システムを使用していますか? | グレース期間終了 |
|---|---|---|
| 非エンタープライズ | はい | 2024年9月9日 |
| エンタープライズ | はい | 2024年10月7日 |
| すべてのプラン | いいえ | 2024年10月21日 |
APIを介してゾーンをオプトアウトしたい場合は、グレース期間の期限日またはそれ以前にこのAPIコールを行うことができます。
curl --request PATCH \ --url https://api.cloudflare.com/client/v4/zones/<ZONE_ID>/settings/ssl_automatic_mode \ --header 'Authorization: Bearer <CF_API_TOKEN>' \ --header 'Content-Type: application/json' \ --data '{"value":"custom"}'複数のゾーンをオプトアウトしたい場合:
-
次の権限を持つAPIトークンを作成します:
Zone - Zone - ReadZone - Zone Settings - ReadZone - Zone Settings - Edit
-
ゾーンのリストを取得するために
GETリクエストを行います(このリストはaccount.idでフィルタリングできます)。Terminal window curl 'https://api.cloudflare.com/client/v4/zones?account.id=<ACCOUNT_ID>' \--header 'Authorization: Bearer <CF_API_TOKEN>' \--header 'Content-Type: application/json' -
オプトアウトしたいゾーンIDのリストを作成し、各ゾーンIDを別の行に(改行で区切って)
zones.txtのようなファイルに保存します。 -
opt-out-multiple-zones.sh用のbashスクリプトを作成し、以下を追加します。zones.txtを同じディレクトリに追加するか、パスを適宜更新します。opt-out-multiple-zones.sh for zoneID in $(cat zone.txt); doprintf "オプトアウト中 ${zoneID}:\n"curl --request PATCH \--url https://api.cloudflare.com/client/v4/zones/$zoneID/settings/ssl_automatic_mode \--header 'Authorization: Bearer <CF_API_TOKEN>' \--header 'Content-Type: application/json' \--data '{"value":"custom"}'printf "\n\n"done -
コマンドラインを開いて、次のように実行します:
Terminal window bash opt-out-multiple-zones.sh
カスタムSSL/TLSを使用するには、カスタムオプションを選択します(自動SSL/TLSを使用する代わりに暗号化モードを手動で設定したい場合):
- オフ(暗号化なし): ブラウザと Cloudflare の間、または Cloudflare とオリジンの間のトラフィックに暗号化は使用されません。すべてが平文の HTTP です。
- フレキシブル: ブラウザから Cloudflare へのトラフィックは HTTPS を介して暗号化できますが、Cloudflare からオリジンサーバーへのトラフィックは暗号化されません。このモードは TLS をサポートしていないオリジンに一般的ですが、可能な限りオリジンの設定をアップグレードすることが推奨されます。
- フル: Cloudflareは、オリジンへの接続時にブラウザのリクエストプロトコルに一致します。ブラウザがHTTPを使用している場合、CloudflareはHTTP経由でオリジンに接続します。HTTPSを使用している場合、Cloudflareはオリジンの証明書を検証せずにHTTPSを使用します。このモードは、自己署名またはその他の無効な証明書を使用するオリジンに一般的です。
- フル (厳格): フルモードに似ていますが、公開CA(例:Let’s Encrypt)やCloudflare Origin CAによって発行されたオリジンサーバーの証明書の検証が追加されています。
- 厳格 (SSL専用オリジンプル): ブラウザとCloudflareの接続がHTTPまたはHTTPSのいずれを使用していても、Cloudflareは常に証明書検証を行いながらHTTPSでオリジンに接続します。
To change your encryption mode in the dashboard:
- Log in to the Cloudflare dashboard ↗ and select your account and domain.
- Go to SSL/TLS.
- Choose an encryption mode.
To adjust your encryption mode with the API, send a PATCH request with ssl as the setting name in the URI path, and the value parameter set to your desired setting (off, flexible, full, strict, or origin_pull).