我想再写一篇关于Keyless SSL的文章，这是我们上周的声明，在注意力转移到我们周一将要发布的内容之前。Keyless允许我们提供CloudFlare服务，而无需在边缘服务器上本地存储私有SSL密钥。上周的新闻集中在这将如何允许大型客户（如大型金融机构）使用CloudFlare而不信任我们的私钥。但是，还有一个用途将使整个CloudFlare用户群受益，而不仅仅是我们最大的企业客户，这就是：无密钥SSL是我们继续扩展CloudFlare全球网络战略的关键部分。CloudFlare今天的全球网络CloudFlare目前的网络由遍布全球大部分地区的28个边缘数据中心组成。我们对这些设施有技术和安全要求，以确保他们所居住的设备保持安全。一般来说，我们在三级或四级数据中心设施中具有最高级别的安全性。例如，在我们的圣何塞设施中，除了多个24x7有人值守的检查站外，您还必须通过5次生物特征扫描，然后才能进入装有我们服务器的电子锁柜。世界上只有大约30个地方，大量的网络汇集在一座建筑中，满足了这些安全要求。换言之，对于我们来说，我们已经基本用完了可以添加一个新位置的位置，在那里我们对设施的安全性有足够的信心来存储客户的私钥等敏感信息。更大的网络，新的挑战由于CloudFlare的大多数竞争对手服务，即使是那些网络覆盖面积看起来更大的服务，当您要求他们启用SSL时，网络的大小就会缩小到与我们今天的网络相似的程度。这是因为他们也不喜欢在许多边缘节点中存储客户的私钥。这就是为什么大多数传统CDN提供商在您要求他们支持SSL时就收取如此巨大的费用。但继续发展我们的网络是有意义的。正如我们所做的，我们不仅可以提供更快的性能，而且可以进一步隔离和减轻大规模攻击。我们在CloudFlare的想法是，最终，我们希望每个手机塔基站都能运行设备。为了做到这一点，我们需要确保我们能够安全地这样做。实现这一目标有许多要求，但其中之一就是确保客户最敏感的数据在没有最高安全标准的情况下绝不能存储在任何地方。这就是无密钥SSL的用武之地。安全地扩展CloudFlare的优势上面的地图显示了CloudFlare在未来12个月内积极致力于建立数据中心的所有位置。随着我们扩展到互联网的一些更遥远的角落，无钥匙SSL允许我们提供全方位的服务，而无需将客户的SSL存储在不符合最高安全标准的设施中。除了技术问题，世界不同地区还有不同的地缘政治关切。例如，欧洲客户可能不信任他们的密钥存储在美国，美国客户可能不信任他们的密钥存储在中国，中国客户可能不信任他们的密钥存储在欧洲。Keyless将使我们能够以客户为基础来尊重这些地缘政治问题，无论是我们自己，还是与可以充当关键存储代理的可信第三方合作。当然，要确保在潜在的恶意环境中的服务器能够得到安全和信任，还有许多其他的技术挑战。好消息是，许多读到这篇文章的人手里都握着一个现代计算平台的例子，这个平台已经被严格锁定，只能运行授权软件：你的智能手机。我们一直在整合提供一个全球安全网络，包括从苹果公司聘请密码学家，收购像CryptoSeal这样的公司，并讨论在不安全环境中保持机密安全的最佳做法（PDF链接）-这一切都与继续安全地扩展CloudFlare的全球网络有关。因此，在一个可能与大规模扩展加密网络有关或可能与之无关的重大宣布前夕，我们也在利用诸如无密钥SSL之类的技术，以安全地扩展我们的网络规模，以更好地服务于我们的所有客户，而不仅仅是那些越来越信任我们保护和加速他们的人际网络。