Vanaf nu mogen er enkel beveiligde HTTPS-verbindingen gebruikt voor API-aanvragen.
Cloudflare heeft aangekondigd dat het vanaf nu enkel nog beveiligde HTTS-verbindingen accepteert voor API-aanvragen naar api.cloudflare.com. Alle HTTP-verbindingen zijn vanaf nu geblokkeerd en afgesloten, nog voordat er gegevens verzonden zijn. Deze preventieve aanpak moet de wendbaarheid en betrouwbaarheid van de Cloudflare API-eindpunten verbeteren.
HTTP vormt risico
De maatregel moet voorkomen dat ongecodeerde API-aanvragen worden verzonden. Op die manier wil Cloudflare voorkomen dat gevoelige info, zoals een API-sleutel, lekt via onbeveiligde verbindingen. API-aanvragen die via HTTP worden verstuurd, zijn niet versleuteld en worden in platte tekst verzonden. Zo kunnen hackers die gegevens eenvoudig onderscheppen. Dat is volgens Cloudflare vooral een probleem bij klanten die geen HTTPS afdwingen.
De IP-adressen van de Cloudflare API zijn dynamisch beheerd. Dat betekent dat ze kunnen veranderen, maar klanten zullen vooraf een waarschuwing krijgen bij een update. Later dit jaar krijgen gebruikers ook de optie om zelf voor hun eigen domeinen alle HTTP-verkeer uit te schakelen.
In 2024 steeg het aantal DDoS-aanvallen naar een recordhoogte. Meer dan de helft van de aanvallen viel onder HTTP-aanvallen, die afkomstig zijn van bekende botnets. HTTPS is beter beveiligd en immuun tegen dit soort aanvallen. Cloudflare zet hiermee een grote stap richting een beter gereguleerd en veiliger internet.
lees ook