Компания Cloudflare прекратила поддержку HTTP-портов для доступа к API Cloudflare (api.cloudflare.com). Отныне все взаимодействия с API будут осуществляться исключительно посредством защищённого протокола HTTPS.
Этот шаг предотвращает отправку незашифрованных API-запросов, в том числе случайную, чтобы исключить риск раскрытия конфиденциальной информации, в частности токенов API, которые могут быть скомпрометированы при передаче в незашифрованном виде. Ранее системы Cloudflare могли перенаправлять HTTP-запросы на HTTPS или возвращать код 403 (Forbidden). Однако, как объясняет компания, даже отклонённые HTTP-запросы могут привести к утечке конфиденциальных данных.
«Начиная с сегодняшнего дня, любое незашифрованное соединение с api.cloudflare.com будет полностью отклонено. Разработчикам больше не следует ожидать ответа 403 Forbidden для HTTP-соединений, поскольку мы предотвратим установку базового соединения, полностью закрыв интерфейс HTTP. Будет разрешено устанавливать только безопасные HTTPS-соединения», — добавила компания интернет-услуг.
Изменение вступило в силу 20 марта, оно затрагивает всех, кто использует HTTP в API Cloudflare. Скрипты, боты и инструменты, полагающиеся на этот протокол, работать не будут. То же самое относится к устаревшим системам, устройствам IoT и низкоуровневым клиентам, которые не поддерживают или не используют HTTPS по умолчанию.
В дополнение к этому Cloudflare планирует дать возможность пользователям деактивировать HTTP-порты для их собственных веб-ресурсов. Предполагается, что эта функция будет доступна в четвёртом квартале 2025 года.
Данные Cloudflare показывают, что примерно 2,4% всего трафика, проходящего через системы компании, осуществляется по протоколу HTTP. Если принять во внимание автоматизированный трафик, доля HTTP возрастает почти до 17%.
