أعلنت شركة Cloudflare عن إغلاق جميع اتصالات HTTP، حيث أصبحت تقبل فقط الاتصالات الآمنة عبر بروتوكول HTTPS لنطاق api.cloudflare.com.
تهدف هذه الخطوة إلى منع إرسال طلبات API غير مشفرة، حتى لو كانت عن طريق الخطأ، وذلك للقضاء على خطر تسريب المعلومات الحساسة عبر حركة المرور غير المشفرة قبل أن يغلق الخادم اتصال HTTP ويعيد التوجيه إلى قناة اتصال آمنة.
وذكرت Cloudflare في إعلانها يوم الخميس:
“بدءًا من اليوم، سيتم رفض أي اتصال غير مشفر إلى api.cloudflare.com تمامًا.
يجب ألا يتوقع المطورون تلقي استجابة 403 Forbidden لاتصالات HTTP، حيث سنمنع إنشاء الاتصال الأساسي من خلال إغلاق واجهة HTTP بالكامل. سيُسمح فقط بإنشاء اتصالات HTTPS الآمنة.”
ما هي واجهة برمجة التطبيقات (API) الخاصة بـ Cloudflare؟
تساعد واجهة برمجة التطبيقات الخاصة بـ Cloudflare المطورين ومسؤولي الأنظمة على أتمتة وإدارة خدمات Cloudflare. تُستخدم هذه الواجهة لإدارة سجلات DNS، وتهيئة الجدران النارية، وحماية من هجمات DDoS، وإدارة التخزين المؤقت، وضبط إعدادات SSL، ونشر البنية التحتية، والوصول إلى بيانات التحليلات، وإدارة سياسات الوصول الآمن (Zero Trust) والأمان.
في السابق، كانت أنظمة Cloudflare تسمح بالوصول إلى واجهة برمجة التطبيقات عبر كل من HTTP (غير مشفر) وHTTPS (مشفر)، إما عن طريق إعادة التوجيه أو رفض اتصالات HTTP.
ومع ذلك، كما توضح الشركة، حتى الطلبات المرفوضة عبر HTTP قد تتسبب في تسريب بيانات حساسة مثل مفاتيح API أو الرموز (Tokens) قبل أن يستجيب الخادم.
لماذا يُعتبر هذا التغيير مهمًا؟
يُعد هذا السيناريو أكثر خطورة عند الاتصال عبر شبكات Wi-Fi العامة أو المشتركة، حيث يسهل تنفيذ هجمات “الرجل في المنتصف” (Man-in-the-Middle).
من خلال تعطيل منافذ HTTP تمامًا للوصول إلى واجهة برمجة التطبيقات، تمنع Cloudflare اتصالات النص العادي (Plaintext) على مستوى طبقة النقل (Transport Layer) قبل تبادل أي بيانات، مما يفرض استخدام HTTPS من البداية.
التأثير والخطوات التالية
سيؤثر هذا التغيير فورًا على أي شخص يستخدم HTTP في خدمة واجهة برمجة التطبيقات الخاصة بـ Cloudflare.
ستتوقف النصوص البرمجية (Scripts)، والروبوتات (Bots)، والأدوات التي تعتمد على هذا البروتوكول عن العمل.
وينطبق الشيء نفسه على الأنظمة القديمة والعملاء الآليين، وأجهزة إنترنت الأشياء (IoT)، والعملاء منخفضي المستوى الذين لا يدعمون HTTPS أو لا يستخدمونه بشكل افتراضي بسبب التهيئة غير الصحيحة.
بالنسبة للعملاء الذين لديهم مواقع ويب على Cloudflare، تعد الشركة لإطلاق خيار مجاني بحلول نهاية العام سيُعطل حركة مرور HTTP بطريقة آمنة.
إحصائيات مهمة
تشير بيانات Cloudflare إلى أن نسبة صغيرة ولكنها مهمة تبلغ حوالي 2.4% من إجمالي حركة المرور على الإنترنت التي تمر عبر أنظمتها لا تزال تتم عبر بروتوكول HTTP غير الآمن.
وعند أخذ حركة المرور الآلية في الاعتبار، ترتفع نسبة HTTP إلى ما يقرب من 17%.
يمكن للعملاء تتبع حركة مرور HTTP مقابل HTTPS في لوحة التحكم الخاصة بهم تحت قسم Analytics & Logs > Traffic Served Over SSL قبل الاشتراك في الخدمة، لتقدير التأثير الذي سيكون لهذا التغيير على بيئتهم.
