Компанія Cloudflare оголосила, що тепер приймає тільки захищені HTTPS-з’єднання до api.cloudflare.com, а всі HTTP-порти будуть закриті.

Розробники пояснюють, що це дасть змогу запобігти надсиланню навіть випадкових незашифрованих API-запитів, у такий спосіб унеможливлюючи ризик розкриття конфіденційної інформації у відкритому трафіку до того, як сервер закриє HTTP-з’єднання та перенаправить його в захищений канал.

Раніше системи Cloudflare дозволяли доступ до API як за допомогою HTTP, так і HTTPS, перенаправляючи або відхиляючи HTTP. Але, як пояснюють у компанії, навіть відхилені HTTP-запити можуть призвести до витоку конфіденційних даних (наприклад, ключів або токенів API) до того, як сервер відповість на запит.

У випадку з громадськими або відкритими мережами Wi-Fi такий сценарій стає ще більш небезпечним, оскільки там легше здійснити атаку типу man-in-the-middle.

Повністю відключаючи HTTP-порти для доступу до API, Cloudflare блокує такі з’єднання на транспортному рівні (transport layer), ще до обміну даними.

Ця зміна безпосередньо торкнеться всіх, хто використовує HTTP, тобто скрипти, боти та інструменти, що покладаються на цей протокол, вийдуть з ладу. Те саме стосується застарілих систем і автоматизованих клієнтів, IoT-пристроїв і низькорівневих клієнтів, які не підтримують HTTPS або не переходять на нього за замовчуванням через неправильну конфігурацію.

Очікується, що до кінця року Cloudflare запустить безкоштовну функцію, за допомогою якої користувачі теж зможуть безпечно відключати HTTP-трафік.

За даними компанії, приблизно 2,4% всього інтернет-трафіку, що проходить через її системи, все ще передається за небезпечним протоколом HTTP. Якщо враховувати автоматичний трафік, то частка HTTP зростає майже до 17%.