Η Cloudflare ανακοίνωσε ότι από τις 20 Μαρτίου 2025, όλες οι μη κρυπτογραφημένες συνδέσεις HTTP προς το api.cloudflare.com θα απορρίπτονται πλήρως, επιτρέποντας μόνο ασφαλείς συνδέσεις HTTPS.
Αυτή η απόφαση ελήφθη για να αποτραπεί η πιθανότητα διαρροής ευαίσθητων πληροφοριών, όπως κλειδιά API, μέσω μη κρυπτογραφημένων αιτημάτων HTTP. Προηγουμένως, οι μη κρυπτογραφημένες συνδέσεις είτε ανακατευθύνονταν είτε απορρίπτονταν με κωδικό 403 Forbidden, αλλά ακόμη και τότε, τα δεδομένα μπορούσαν να εκτεθούν πριν το αίτημα απορριφθεί.
Το Cloudflare API επιτρέπει σε προγραμματιστές και διαχειριστές συστημάτων να αυτοματοποιούν και να διαχειρίζονται υπηρεσίες της Cloudflare, όπως τη διαχείριση εγγραφών DNS, τη ρύθμιση firewall, την προστασία από DDoS επιθέσεις, τη διαχείριση προσωρινής μνήμης, τις ρυθμίσεις SSL, την ανάπτυξη υποδομών, την πρόσβαση σε αναλυτικά δεδομένα και τη διαχείριση πολιτικών ασφαλείας zero-trust.
Η μετάβαση σε αποκλειστική χρήση HTTPS για το API της Cloudflare ενισχύει την ασφάλεια, μειώνοντας τον κίνδυνο διαρροής ευαίσθητων δεδομένων μέσω μη κρυπτογραφημένων συνδέσεων. Αυτή η αλλαγή μπορεί να επηρεάσει scripts, bots και εργαλεία που βασίζονται σε μη κρυπτογραφημένες συνδέσεις HTTP, καθώς και παλαιότερα συστήματα και συσκευές IoT που δεν υποστηρίζουν ή δεν έχουν ρυθμιστεί να χρησιμοποιούν HTTPS.
Για τους πελάτες με ιστοσελίδες στην Cloudflare, η εταιρεία σχεδιάζει να κυκλοφορήσει μια δωρεάν επιλογή προς το τέλος του έτους που θα επιτρέπει την ασφαλή απενεργοποίηση της κίνησης HTTP. Σύμφωνα με τα δεδομένα της Cloudflare, περίπου το 2,4% της συνολικής κίνησης στο διαδίκτυο που διέρχεται από τα συστήματά της εξακολουθεί να γίνεται μέσω του μη ασφαλούς πρωτοκόλλου HTTP, ποσοστό που αυξάνεται σχεδόν στο 17% όταν λαμβάνεται υπόψη η αυτοματοποιημένη κίνηση.
Οι πελάτες μπορούν να παρακολουθούν την αναλογία κίνησης HTTP και HTTPS μέσω του πίνακα ελέγχου τους, στην ενότητα Analytics & Logs > Traffic Served Over SSL, πριν επιλέξουν να απενεργοποιήσουν την κίνηση HTTP, ώστε να εκτιμήσουν τον αντίκτυπο που θα έχει αυτή η αλλαγή στο περιβάλλον τους.
Γιατί αυτή η αλλαγή είναι σημαντική
Η απόφαση της Cloudflare να διακόψει πλήρως τη χρήση του HTTP για τα API endpoints της δεν είναι μόνο ένα τεχνικό μέτρο, αλλά και μια στρατηγική πρωτοβουλία για την ενίσχυση της εμπιστοσύνης και της ασφάλειας στο cloud οικοσύστημα. Σε ένα περιβάλλον όπου οι επιθέσεις τύπου man-in-the-middle (MITM) σε δημόσια ή κοινόχρηστα δίκτυα Wi-Fi εξακολουθούν να αποτελούν απειλή, η αποδοχή ακόμη και ενός απλού HTTP αιτήματος μπορεί να αποβεί μοιραία.
Το HTTP, από τη φύση του, είναι πρωτόκολλο «σε απλό κείμενο», πράγμα που σημαίνει ότι όλα τα δεδομένα που αποστέλλονται ή λαμβάνονται μπορούν να υποκλαπούν εύκολα, χωρίς καμία προστασία. Η χρήση του HTTPS εξασφαλίζει ότι τα δεδομένα είναι κρυπτογραφημένα από άκρο σε άκρο, προστατεύοντας κρίσιμες πληροφορίες όπως διαπιστευτήρια, tokens και δεδομένα πελατών.
Αυτό που καθιστά την προσέγγιση της Cloudflare ξεχωριστή είναι το γεγονός ότι δεν βασίζεται σε απλές ανακατευθύνσεις (redirects), αλλά μπλοκάρει τις HTTP συνδέσεις στο επίπεδο του transport layer, δηλαδή πριν ακόμη αποσταλεί οποιοδήποτε δεδομένο. Αυτό μειώνει δραματικά την πιθανότητα διαρροών και φέρνει τον πήχη ασφαλείας ψηλότερα για ολόκληρη την αγορά.
Η κίνηση αυτή ευθυγραμμίζεται και με τις γενικότερες εξελίξεις στον χώρο της κυβερνοασφάλειας, καθώς οργανισμοί και πλατφόρμες όπως το OWASP και το NIST υποστηρίζουν εδώ και καιρό την πλήρη απομάκρυνση από το HTTP και τη γενίκευση της χρήσης HTTPS και HSTS.
Για εταιρείες και προγραμματιστές, η αλλαγή αυτή είναι μια καλή αφορμή για αναθεώρηση των υφιστάμενων εργαλείων και scripts τους, διασφαλίζοντας ότι όλα τα endpoints χρησιμοποιούν σύγχρονα και ασφαλή πρωτόκολλα επικοινωνίας.
Πηγές: CloudFlare, BleepingComputer
