zurück zum Artikel

Cloudflare erlaubt nur noch verschlüsselte Verbindungen mit HTTPS

Dirk Knop
Zwei Computer, einer mit HTTP-Verbindung und Stop-Schild, einer mit HTTPS-Verbindung und Daumen hoch

(Bild: Erstellt mit KI in Gemini durch heise online / dmk)

Klartextkommunikation erlaubt auch Unbefugten Einsicht in Daten. Cloudflare unterstützt daher auch für API-Aufrufe kein HTTP mehr.

Cloudflare will die Kommunikation im Netz sicherer machen und würgt dazu den API-Zugriff mittels unverschlüsseltem HTTP ab. Das soll unbefugte Lauscher daran hindern, sensible Informationen abzugreifen und damit unter Umständen Missbrauch zu treiben.

In einem Blog-Beitrag erläutert Cloudflare [1], wie das Unternehmen einen besseren Schutz bieten möchte. Verbindungen über Klartext-Protokolle wie HTTP sind dem Risiko ausgesetzt, sensible Informationen preiszugeben, da sie unverschlüsselt übertragen werden und so von Zwischenstationen im Netz wie WLAN-Hotspots, Internet-Providern oder bösartigen Akteuren abgreifbar sind. Die Cloudflare-Mitarbeiter schreiben, dass es daher für Server inzwischen üblich ist, HTTP-Verbindungen umzuleiten oder eine HTTP-403-Fehlermeldung (Forbidden) zurückzuliefern, um die Verbindung zu schließen und die Nutzung von HTTPS durch die Clients zu erzwingen.

Klartext-Umleitungen kommen zu spät

Zum Zeitpunkt solch einer Umleitung ist das Kind jedoch bereits in den Brunnen gefallen, da sensible Informationen wie API-Schlüssel im Klartext übertragen worden sind. Die Daten wurden offengelegt, noch bevor der Server die Möglichkeit hatte, den Client umzuleiten oder die Verbindung abzulehnen. Daher sei der bessere Ansatz, die Netzwerk-Ports für Klartext-HTTP dichtzumachen – und den setzt Cloudflare nun um.

Ab sofort schließt Cloudflare die HTTP-Ports auf "api.cloudflare.com", zumindest für die interne Nutzung. Zugleich hat das Unternehmen eingerichtet, dass die URL die IP-Adresse dynamisch ändern kann, um Namen von IP-Adressen zu entkoppeln. Wer statische API-IPs nutzt, soll rechtzeitig über zu ergreifende Maßnahmen informiert werden.

Cloudflare ermöglicht den Kunden, mittels Opt-in alle HTTP-Ports für ihre Webseiten und Domains abzuschalten. Das soll als kostenlose Funktion im letzten Quartal dieses Jahres kommen. Bereits jetzt kennt Cloudflare eine "Always use HTTPS"-Einstellung, um allen Kundenverkehr zu Kunden-Domains von HTTP auf HTTPS umzulenken. Beispielsweise durch einen HTTP-3XX-Redirect landet eine Anfrage an die http://-URL dann auf https://. Allerdings kann im Falle des Aufrufs von "api.cloudflare.com" so bereits der API-Key entfleuchen. In so einem Fall müssten Betroffene die API-Keys erneuern und darüber informiert werden. Ein präventiver Ansatz erlaubt aber gar nicht erst den Aufbau einer solchen unsicheren Verbindung, etwa durch Schließen aller Klartext-HTTP-Ports. Da keine API-Keys dadurch korrumpiert werden, müssen sie auch nicht rotiert und erneuert werden.

Etwas über zwei Prozent des Cloudflare-Traffics findet laut eigenen Aussagen aber noch über HTTP statt. Wahrscheinlich handelt es sich größtenteils um menschliche Nutzer, obwohl Webbrowser inzwischen vor unverschlüsselten Verbindungen warnen und automatisch stillschweigend auf HTTPS umschwenken. Es gibt auch das Problem von IoT-Geräten, die mit begrenzter Rechenleistung, automatisierten API-Clients und veralteter Software lediglich HTTP beherrschen. Die Blockade des HTTP-Ports 80 würde den Dienstzugriff solcher Clients komplett unterbinden. Daher fängt Cloudflare vorsichtig mit der "api.cloudflare.com"-URL an.

Betroffenheit prüfen

Cloudflare-Kunden können vor dem Aktivieren der Blockade-Option für ihre Domains im Dashboard nachsehen, ob Clients noch unverschlüsselt zugreifen, und diese gegebenenfalls umstellen. Unter "Analytics & Logs" – "Traffic Served Over SSL" findet sich eine Aufteilung in verschlüsselten und unverschlüsselten Traffic. Nach dem Opt-in sollte kein Traffic mehr über HTTP laufen und die Zahl auf null absinken.

Entwickler müssen unter Umständen ihre Software an die neuen Gegebenheiten anpassen. Es erfolgt etwa in absehbarer Zeit keine HTTP-403-Forbidden-Meldung bei der Verbindungsanfrage mehr, sondern die Verbindung wird aufgrund des blockierten Ports abgelehnt. Durch die Umstellung auf nicht statische IP-Adressen für "api.cloudflare.com" läuft auch der Support für veraltete "non-SNI"-Clients aus. Cloudflare möchte betroffenen Kunden hierbei aber unter die Arme greifen.

Jetzt heise Security Pro entdecken Jetzt heise Security Pro entdecken [2]

(dmk [3])

URL dieses Artikels:
https://www.heise.de/-10328030

Links in diesem Artikel:
[1] https://blog.cloudflare.com/https-only-for-cloudflare-apis-shutting-the-door-on-cleartext-traffic/
[2] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:dmk@heise.de

Copyright © 2025 Heise Medien