CDNやDDoS防御などのサービスを提供しているCloudflareが、配信元サーバーへの接続においてSSLおよびTLSが利用可能かどうかを自動で判断する「Automatic SSL/TLSモード」を導入したと発表しました。

Introducing Automatic SSL/TLS: securing and simplifying origin connectivity

https://blog.cloudflare.com/introducing-automatic-ssl-tls-securing-and-simplifying-origin-connectivity

Cloudflareはユーザーとサーバー間のリバースプロキシとして動作し、世界各地のユーザーからのアクセスを最も近い距離にあるエッジサーバーで処理することで高速な応答を可能にしています。リクエストされたデータがエッジサーバーにキャッシュされている場合にはエッジサーバーのデータを返送し、キャッシュが無ければ本来のサーバーであるオリジンサーバーへデータを要求するのが基本的な仕組みです。



ユーザーとCloudflare間の通信経路についてはCloudflareがサーバー証明書を用意すればSSL/TLS通信が可能でしたが、Cloudflareとオリジンサーバー間の通信をSSL/TLS化するにはオリジンサーバー側の設定が必要で、Cloudflareの設定だけでは変更できませんでした。



2024年8月8日より、より強いSSL/TLSモードが選択できるときに通知する「SSL/TLS Recommender」を設定しているユーザーを対象に「Automatic SSL/TLS」モードが提供されます。Automatic SSL/TLSはCloudflareがさまざまなSSL/TLSモードを使用してオリジンサーバーにリクエストを送信し、返送されたデータを比較することで「安全に使用できる最高レベルのSSL/TLSモード」を見つけ、自動で適用する設定です。



Custom SSL/TLSを選択すれば手動でSSL/TLSレベルを切り替えることも可能。



従来通りオリジンサーバーにサーバー証明書をインストールするなどの設定は必要であるものの、Automatic SSL/TLSを使用すればCloudflareが返送データを検証してくれるため、構成ミスによってSSL/TLSレベルを切り替えた際にサイトがダウンしてしまうリスクを軽減できます。



2024年8月8日以降、SSL/TLS Recommenderを有効にしている場合は標準でAutomatic SSL/TLSが選択されます。ただし、即座に自動でSSL/TLSモードが切り替わるわけではなく、初回のスキャンは2024年9月9日より開始されるとのこと。SSL/TLS Recommenderを有効にしたままAutomatic SSL/TLSを無効化したい場合は初回のスキャンまでに設定を変更する必要があります。

SSL/TLS Recommenderを有効にしていなくとも、FreeプランおよびProプランのユーザーは2024年9月16日よりAutomatic SSL/TLSへの移行が開始され、下位プランユーザーの移行が成功したのちにBusinessプランおよびEnterpriseプランのユーザーも移行されるとのことです。