Erfahren Sie, welche TLS-Verschlüsselungen und -Protokolle von Cloudflare unterstützt werden. Erfahren Sie, welche Browser Cloudflare SSL-Zertifikate unterstützen und welche Zwischen- und Stammzertifikate zum Signieren von Cloudflare-Zertifikaten verwendet werden.
Unterstützung für Cloudflare TLS/SSL-Verschlüsselung
Da die Verschlüsselung von Datenverkehr entweder zwischen Website-Besuchern und Cloudflare oder zwischen Cloudflare und Ihrem Ursprungswebserver erfolgt, unterscheidet Cloudflare zwischen:
- Von Cloudflare unterstützte TLS/SSL-Verschlüsselungen des Ursprungswebservers und
- Cloudflare TLS/SSL-Verschlüsselungen
Von Cloudflare unterstützte TLS/SSL-Verschlüsselungen des Ursprungswebservers
Abhängig von der in der Cloudflare-App SSL/TLS angegebenen SSL-Option stellt Cloudflare über HTTP oder HTTPS eine Verbindung zu einem Ursprungswebserver her. Nachfolgend finden Sie eine Liste der SSL-Verschlüsselungen des Ursprungsservers, die Cloudflare für TLS 1.3, TLS 1.2 und frühere TLS-Versionen bei Herstellung einer Verbindung zu Ihrem Ursprungswebserver über HTTPS unterstützt:
TLS 1.2 und frühere TLS-Versionen:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA
- AES128-GCM-SHA256
- AES128-SHA
- ECDHE-RSA-AES256-SHA384
- AES256-SHA
- DES-CBC3-SHA
TLS 1.3:
Name der Cipher Suite (IANA) | Cipher Suite (Oktalwert) |
TLS_AES_128_GCM_SHA256 | {0x13,0x01} |
TLS_AES_256_GCM_SHA384 | {0x13,0x02} |
TLS_CHACHA20_POLY1305_SHA256 | {0x13,0x03} |
Cloudflare TLS/SSL-Verschlüsselungen
Die Konfiguration sowohl des Client-Browsers als auch des Webservers bestimmt die verwendete Verschlüsselungssuite und nicht das SSL-Zertifikat. Wenn ein Browser eine HTTPS-Verbindung initiiert, sendet er eine Liste der unterstützten Cipher Suites. Der Webserver wählt dann den gewünschten aus.
Cloudflare bevorzugt derzeit das Aushandeln einer Verbindung mit AES128. Um AES256 verwenden zu können, muss der Browser eines Clients eine 256-Bit-Verschlüsselungssuite erzwingen. Unsere Präferenz für die Verwendung von AES128 kann sich in Zukunft ändern.
Nachfolgend finden Sie eine Liste der SSL-Verschlüsselungen, die Cloudflare für TLS 1.3 und TLS 1.2 und älter für Kunden mit kostenpflichtigen Tarifen unterstützt:
OpenSSL Name | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 |
ECDHE-ECDSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA | ✅ | ✅ | ✅ | ❌ |
AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA | ✅ | ✅ | ✅ | ❌ |
DES-CBC3-SHA | ✅ | ❌ | ❌ | ❌ |
AEAD-AES128-GCM-SHA256 | ❌ | ❌ | ❌ | ✅ |
AEAD-AES256-GCM-SHA384 | ❌ | ❌ | ❌ | ✅ |
AEAD-CHACHA20-POLY1305-SHA256 | ❌ | ❌ | ❌ | ✅ |
Aktuelle Informationen zur SSL-Konfiguration von Cloudflare finden Sie an unserem öffentlichen Speicherort für SSL-Konfigurationen.
Unterstützung für Cloudflare TLS/SSL-Protokolle
Cloudflare verwendet nur TLS 1.0, TLS 1.1, TLS 1.2 und TLS 1.3, um SSL-Verbindungen zwischen dem Besucher und Cloudflare herzustellen.
TLS 1.2 wurde 2008 zum Industriestandard. Sowohl das Payment Cards Industry Security Standards Council (PCI SSC) als auch das National Institute of Standards and Technology (NIST) befürworten TLS 1.2 für mehr Sicherheit im Internet.
Cloudflare TLS/SSL-Browserunterstützung
Cloudflare stellt für kostenpflichtige Pakete zusätzliche SSL-Zertifikate bereit als für kostenlose Pakete. Auf diese Weise können kostenpflichtige Pakete bestimmte ältere Geräte unterstützen. Informationen zu den von Ihrem aktuellen Browser unterstützten SSL-Protokollen und Verschlüsselungen finden Sie unter https://www.ssllabs.com/ssltest/viewMyClient.html.
Moderne Browserunterstützung für Domains kostenpflichtiger Cloudflare-Pakete
Cloudflare-SSL-Zertifikate verwenden die SAN-Erweiterung (Subject Alternative Names), um mehrere Domains auf demselben SSL-Zertifikat zu unterstützen. Darüber hinaus verwenden dedizierte Zertifikate und universelle SSL-Zertifikate die Server Name Indication (SNI) mit dem Elliptic Curve Digital Signature Algorithm (ECDSA). SNI- und ECDSA-Zertifikate funktionieren mit den folgenden modernen Browsern:
Desktop-Browser, die unter Windows Vista oder OS X 10.6 oder höher installiert sind:
- Internet Explorer 7
- Firefox 2
- Opera 8 (mit aktiviertem TLS 1.1)
- Google Chrome v5.0.342.0
- Safari 2.1
Mobile Browser:
- Mobile Safari für iOS 4.0
- Android 3.0 (Honeycomb) und höher
- Windows Phone 7
Moderne Browserunterstützung für kostenlose Cloudflare-Domains
Aufgrund der geringeren Anzahl von SSL-Zertifikaten, die für Cloudflare-Domains in kostenlosen Paketen bereitgestellt werden, ist die SSL-Browserunterstützung für kostenlose Domains auf geringfügig neuere Browser beschränkt:
Minimal unterstützte Desktop-Browser:
- Firefox 2
- Internet Explorer 7 on Windows Vista
- Windows Vista oder OS X 10.6 mit:
- Chrome 5.0.342.0
- Opera 14
- Safari 4
Minimal unterstützte mobile Browser:
- Mobile Safari on iOS 4.0
- Android 4.0 ("Ice Cream Sandwich")
- Windows Phone 7
SSL-Zwischen- und Stammzertifikate zum Signieren von Cloudflare-Zertifikaten
Universal SSL-Zertifikate werden von Sectigo oder Digicert ausgestellt. Dedicated SSL- und SSL für SaaS-Zertifikate werden von Digicert ausgestellt.
Sectigo
Klicken Sie hier, um den reduzierten Inhalt unten zu erweitern, und Details zu den Stamm- und Zwischenzertifikaten zu erhalten, die zum Signieren der folgenden Cloudflare-Zertifikate verwendet werden:
Stufe | Allgemeiner Name | Seriell | SHA-1 Fingerprint | Herunterladen |
Stammverzeichnis | AddTrust Externes CA-Stammverzeichnis | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
Zwischenstufe 1 | Sectigo ECC-Zertifizierungsstelle | 4352023FFAA8901F139FE3F4E5C1444E | AE223CBF20191B40D7FFB4EA5701B65FDC68A1CA | |
Zwischenstufe 2 | Sectigo ECC Domain Validation Secure Server CA 2 | 5B25CE6907C4265566D3390C99A954AD | 75CFD9BC5CEFA104ECC1082D77E63392CCBA5291 |
Stufe | Allgemeiner Name | Seriell | SHA-1 Fingerprint | Herunterladen |
Stammverzeichnis | AddTrust Externes CA-Stammverzeichnis | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
Zwischenstufe 1 | Sectigo RSA-Zertifizierungsstelle | 2766EE56EB49F38EABD770A2FC84DE22 | F5AD0BCC1AD56CD150725B1C866C30AD92EF21B0 | |
Zwischenstufe 2 | Sectigo RSA Domain Validation Secure Server CA 2 | 0BA2D01DCBCB7776E8AC65097AC12541 | 0BC249478F120F146D5714970A088A3A30C9ED07 |
Digicert
Klicken Sie hier, um den reduzierten Inhalt unten zu erweitern, und Details zu den Stamm- und Zwischenzertifikaten zu erhalten, die zum Signieren der folgenden Cloudflare-Zertifikate verwendet werden:
Stufe | Allgemeiner Name | Seriell | SHA-1 Fingerprint | Herunterladen |
Stammverzeichnis | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
Zwischenstufe | CloudFlare Inc ECC CA-2 | 0FF3E61639AA3D1A1265F41F8B34E5B6 | 6B53C3B358CEF368201F8741B9C5AEDEEA3861FA |
Stufe | Allgemeiner Name | Seriell | SHA-1 Fingerprint | Herunterladen |
Stammverzeichnis | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
Zwischenstufe | CloudFlare Inc RSA CA-1 | 060DD6C1D067901B5475FCFFC29E3137 | 2AA2B8A223DA08798599B54DE4121757ABA33341 |