CloudFlare的团队很高兴宣布发布universalsl™. 从今天开始，我们将支持到每个CloudFlare客户的SSL连接，包括已经注册免费版本服务的200万个站点。今天上午，我们开始在所有现有客户中推出通用SSL。我们希望这一过程能在一天结束之前完成所有现有客户。昨天，互联网上活跃着大约200万个支持加密连接的网站。到今天结束的时候，我们会加倍的。对于注册CloudFlare免费计划的新客户，在我们完成对现有客户的调配后，激活Universal SSL最多需要24小时。与以往一样，付费计划的SSL将在注册后立即提供。它是如何工作的？对于所有客户，我们现在将在CloudFlare的网络上自动提供一个SSL证书，该证书将接受客户域和子域的HTTPS连接。这些证书包括根域的条目（例如。，example.com网站)以及所有一级子域的通配符条目（例如。，网站, 博客.example.com等等）。对于以前没有SSL的站点，我们将默认使用灵活的SSL模式，这意味着从浏览器到CloudFlare的流量将被加密，但是从CloudFlare到站点源服务器的流量将不会被加密。我们强烈建议站点所有者在他们的web服务器上安装一个证书，这样我们就可以加密到源站的流量。今天晚些时候，我们将发布一个博客，上面有关于如何做到这一点的免费指导。一旦在web服务器上安装了证书，就可以启用完整或严格的SSL模式，这些模式可以加密源流量并提供更高级别的安全性。挑战CloudFlare的运营规模很大，而且我们的增长速度非常快。为了使通用SSL在我们的规模上发挥作用，我们需要确保它不会占用我们的资源。我们有两个主要问题：CPU负载IPv4耗尽终止HTTPS连接比终止HTTP需要更多的CPU负载。额外的负载取决于所使用的特定密码套件。例如，与基于RSA的更传统的密码套件相比，尖端密码套件ECDSA对我们的系统施加的负载要少得多。碰巧，ECDSA还提供了比旧密码套件更多的性能和安全优势。我们在过去曾写过ECDSA的优点，包括它支持完美的前向保密性和更快的SSL终止（从而加快页面加载时间）。IPv4终止是通用SSL的另一个挑战。SSL的原始实现加密了主机头。这意味着每个IP地址只能有一个证书。考虑到CloudFlare控制着有限数量的IP地址，我们不可能为我们数百万客户中的每一个提供唯一的IP地址。解决方案这些挑战要求，对于免费客户，我们将通用SSL支持限制在现代浏览器上。现代浏览器包括对ECDSA的支持，而许多传统浏览器不支持。现代浏览器还支持称为服务器名称指示（SNI）的SSL协议扩展。SNI未加密地发送web站点名称（相当于主机头），这允许我们根据客户的站点请求在IP地址上返回不同的证书。这使我们能够从同一IP为多个客户的站点提供服务。一般来说，如果您运行的浏览器使用时间不到6年，那么您的浏览器是现代的，CloudFlare的免费计划上的通用SSL也可以工作。遗留浏览器的两个最大问题是：Windows XP（或更早版本）上的Internet Explorer安卓pre冰淇淋三明治我们去年一直在研究浏览器流量，以确定来自符合现代浏览器的请求百分比。答案因地区而异。在全球范围内，超过80%的请求来自现代浏览器，而且这一比例正在迅速增长。最近的一项测试显示了世界各国来自现代浏览器的请求百分比。伊朗是世界上最糟糕的地区，只有52.01%的请求来自现代浏览器。南极洲是世界上最好的地区，99.44%的请求来自现代浏览器。您可以将鼠标悬停在不同的区域上，以查看来自现代浏览器的请求百分比。尽管我们免费服务上的Universal SSL需要现代浏览器，但CloudFlare的付费计划始终支持现代和传统浏览器。在接下来的几个月里，由于ECDSA证书的优点，我们计划为付费用户提供在检测到现代浏览器时返回ECDSA证书的选项，如果检测到传统浏览器，则返回RSA证书。如果SSL是您的必备产品，我们仍然建议您使用付费CloudFlare计划（起价20美元/月）。如果SSL是个不错的选择，那么免费计划的支持很可能足以为来自世界各地大多数地区的绝大多数游客提供服务。最后请注意，通用SSL不会禁用您接受未加密流量的能力。HTTP将一如既往地继续工作。不过，现在您可以使用CloudFlare的页面规则强制所有流量传输到HTTPS，即使您是免费客户。（PS—今后，我们还计划支持添加HSTS标头的功能。）其他福利通用SSL的另一个好处是它允许我们广泛支持SPDY协议，它需要加密连接。SPDY通过很多我们以前写过的方法来提高web性能。到今天结束时，所有CloudFlare客户都将默认启用SPDY—这将大大增加SPDY的规模。我们还计划通过IPv6为不支持SNI的浏览器提供连接，从而稍微扩展受支持浏览器的范围。连接到CloudFlare的唯一IP地址中约有16%是通过IPv6连接的（注意：该计算仅将连接到我们网络的任何IPv6地址的前8个字节视为唯一的）。由于IPv6地址实际上是无限的，我们没有IPv4那样的限制，因此可以为每个IPv6地址返回一个唯一的证书。然而，我们更大的希望是，通用SSL将成为另一个原因，加上谷歌和火狐（Firefox）对SHA-1签名证书的抨击，以及微软停止对windowsxp的支持，鼓励人们升级到运行在现代操作系统上的现代浏览器。有时，进步需要牺牲一些向后兼容性。好消息是，CloudFlare目前的免费客户以前都不支持SSL的任何版本，所以加密的web明天只会更好，不会更糟。鼓励使用现代浏览器为此，CloudFlare客户可以帮助鼓励旧浏览器的剩余用户使用CloudFlare应用程序进行升级。只需单击任何使用CloudFlare的网站，就可以安装更好的浏览器应用程序。它会自动检测访问者是否使用旧浏览器，并在页面顶部添加横幅，提示他们升级。互联网是一个信仰体系上周三我们开了一个CloudFlare董事会会议。我们回顾了推出通用SSL的计划，以及考虑到SSL是人们升级到付费计划的原因之一，这样做可能会损害我们的收入。但CloudFlare董事会的所有人都一致认为：即使短期内确实会损害收入，这也是正确的做法。联合广场风险投资公司（Union Square Ventures）的合伙人布拉德•伯纳姆（bradburnham）领导了我们上一轮融资，他在Joi Ito的一篇文章中提醒我，互联网是一种信仰体系。乔伊的观点与生俱来的是，一小群人一起工作，可以创造出伟大的东西。从根本上说，这就是互联网。Netscape背后的团队早在1995年2月就引入了SSL，最初是为了促进在线电子商务。随着互联网的重要性与日俱增，政府、ISP和黑客开始拦截、限制和审查流经网络的流量，以服务于他们的目的。作为回应，SSL的重要性超越了电子商务，以帮助确保一个自由和开放的网络。随着Google和IETF致力于下一代互联网协议，如SPDY和HTTP/2，难怪加密是他们的核心。因此，为了让CloudFlare完成帮助构建更好的互联网的使命，我们知道我们可以做的最重要的事情之一就是为我们的所有客户启用通用SSL—即使他们不向我们付费。对于一个小博客来说，拥有尖端的加密技术似乎并不重要，但它对于推进互联网默认加密的未来至关重要。每一个字节，不管看上去多么平凡，在互联网上加密的每一个字节都会让那些想要拦截、限制或审查网络的人更加困难。换言之，确保你的个人博客可以通过HTTPS提供，这样就更有可能在世界各地访问人权组织、社交媒体服务或独立记者。我们一起可以做大事。互联网是一个信仰体系。在CloudFlare，我们今天很自豪，我们在帮助推进这种信念体系方面发挥了作用。而且，在证明了通用SSL在我们的规模内是可能的，我们希望许多其他组织也会跟进，为他们的所有客户打开SSL，而不增加额外的成本。#保存Web如果您已经是CloudFlare的客户，我们今天全天都在推出Universal SSL。我们预计在未来24小时内，它将为大多数当前客户提供全部资源。如果您是新客户，请注意，从您注册到为我们的免费服务提供SSL将需要长达24小时的时间（而且，如果您很匆忙，对于所有付费计划，它仍然是即时的）。最后一点：如果您通过我们的一个托管合作伙伴注册了CloudFlare，那么在我们启用Universal SSL之前还需要一段时间。这是由于我们需要如何提供通用SSL证书的技术限制。我们认为我们可以解决技术问题