Unterstützung für Cloudflare-SSL-Verschlüsselung, Browser und Protokolle

Erfahren Sie, welche TLS-Verschlüsselungen und -Protokolle von Cloudflare unterstützt werden. Erfahren Sie, welche Browser Cloudflare SSL-Zertifikate unterstützen und welche Zwischen- und Stammzertifikate zum Signieren von Cloudflare-Zertifikaten verwendet werden.


Unterstützung für Cloudflare TLS/SSL-Verschlüsselung

Da die Verschlüsselung von Datenverkehr entweder zwischen Website-Besuchern und Cloudflare oder zwischen Cloudflare und Ihrem Ursprungswebserver erfolgt, unterscheidet Cloudflare zwischen:

Von Cloudflare unterstützte TLS/SSL-Verschlüsselungen des Ursprungswebservers

Abhängig von der in der Cloudflare-App SSL/TLS angegebenen SSL-Option stellt Cloudflare über HTTP oder HTTPS eine Verbindung zu einem Ursprungswebserver her. Nachfolgend finden Sie eine Liste der SSL-Verschlüsselungen des Ursprungsservers, die Cloudflare für TLS 1.3, TLS 1.2 und frühere TLS-Versionen bei Herstellung einer Verbindung zu Ihrem Ursprungswebserver über HTTPS unterstützt:


TLS 1.2 und frühere TLS-Versionen:

  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA
  • AES128-GCM-SHA256
  • AES128-SHA
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA
  • DES-CBC3-SHA

TLS 1.3:

Name der Cipher Suite (IANA)

Cipher Suite (Oktalwert)

TLS_AES_128_GCM_SHA256

{0x13,0x01}

TLS_AES_256_GCM_SHA384

{0x13,0x02}

TLS_CHACHA20_POLY1305_SHA256

{0x13,0x03}

 

Cloudflare TLS/SSL-Verschlüsselungen

Die Konfiguration sowohl des Client-Browsers als auch des Webservers bestimmt die verwendete Verschlüsselungssuite und nicht das SSL-Zertifikat. Wenn ein Browser eine HTTPS-Verbindung initiiert, sendet er eine Liste der unterstützten Cipher Suites. Der Webserver wählt dann den gewünschten aus.

Cloudflare bevorzugt derzeit das Aushandeln einer Verbindung mit AES128. Um AES256 verwenden zu können, muss der Browser eines Clients eine 256-Bit-Verschlüsselungssuite erzwingen. Unsere Präferenz für die Verwendung von AES128 kann sich in Zukunft ändern.

Nachfolgend finden Sie eine Liste der SSL-Verschlüsselungen, die Cloudflare für TLS 1.3 und TLS 1.2 und älter für Kunden mit kostenpflichtigen Tarifen unterstützt:

 

OpenSSL Name

TLS 1.0

TLS 1.1

TLS 1.2

TLS 1.3

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-CHACHA20-POLY1305

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-CHACHA20-POLY1305

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

DES-CBC3-SHA

AEAD-AES128-GCM-SHA256 

AEAD-AES256-GCM-SHA384 

AEAD-CHACHA20-POLY1305-SHA256

Aktuelle Informationen zur SSL-Konfiguration von Cloudflare finden Sie an unserem öffentlichen Speicherort für SSL-Konfigurationen.

Kostenlose Domains, die Universal SSL verwenden, erhalten SHA2 + ECDSA-Zertifikate. Dies erfordert Client-Browser, die die elliptische Kurvenkryptografie (ECC) und SNI unterstützen.

Unterstützung für Cloudflare TLS/SSL-Protokolle

Cloudflare verwendet nur TLS 1.0, TLS 1.1, TLS 1.2 und TLS 1.3, um SSL-Verbindungen zwischen dem Besucher und Cloudflare herzustellen.

TLS 1.2 wurde 2008 zum Industriestandard. Sowohl das Payment Cards Industry Security Standards Council (PCI SSC) als auch das National Institute of Standards and Technology (NIST) befürworten TLS 1.2 für mehr Sicherheit im Internet.

SSLv3 wird aufgrund von Sicherheitslücken nicht unterstützt. TLS Version 1.0 gilt aufgrund seiner Anfälligkeit für Angriffe wie BEAST und POODLE als unsicher.

Cloudflare TLS/SSL-Browserunterstützung

Cloudflare stellt für kostenpflichtige Pakete zusätzliche SSL-Zertifikate bereit als für kostenlose Pakete. Auf diese Weise können kostenpflichtige Pakete bestimmte ältere Geräte unterstützen. Informationen zu den von Ihrem aktuellen Browser unterstützten SSL-Protokollen und Verschlüsselungen finden Sie unter https://www.ssllabs.com/ssltest/viewMyClient.html.

Moderne Browserunterstützung für Domains kostenpflichtiger Cloudflare-Pakete

Cloudflare-SSL-Zertifikate verwenden die SAN-Erweiterung (Subject Alternative Names), um mehrere Domains auf demselben SSL-Zertifikat zu unterstützen.  Darüber hinaus verwenden dedizierte Zertifikate und universelle SSL-Zertifikate die Server Name Indication (SNI) mit dem Elliptic Curve Digital Signature Algorithm (ECDSA). SNI- und ECDSA-Zertifikate funktionieren mit den folgenden modernen Browsern:

Desktop-Browser, die unter Windows Vista oder OS X 10.6 oder höher installiert sind:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (mit aktiviertem TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Mobile Browser:

  • Mobile Safari für iOS 4.0
  • Android 3.0 (Honeycomb) und höher
  • Windows Phone 7

Moderne Browserunterstützung für kostenlose Cloudflare-Domains

Aufgrund der geringeren Anzahl von SSL-Zertifikaten, die für Cloudflare-Domains in kostenlosen Paketen bereitgestellt werden, ist die SSL-Browserunterstützung für kostenlose Domains auf geringfügig neuere Browser beschränkt:

Minimal unterstützte Desktop-Browser:

  • Firefox 2
  • Internet Explorer 7 on Windows Vista
  • Windows Vista oder OS X 10.6 mit:
    • Chrome 5.0.342.0
    • Opera 14
    • Safari 4

Minimal unterstützte mobile Browser:

  • Mobile Safari on iOS 4.0
  • Android 4.0 ("Ice Cream Sandwich")
  • Windows Phone 7

SSL-Zwischen- und Stammzertifikate zum Signieren von Cloudflare-Zertifikaten

Universal SSL-Zertifikate werden von Sectigo oder Digicert ausgestellt. Dedicated SSL- und SSL für SaaS-Zertifikate werden von Digicert ausgestellt.

Sectigo

Klicken Sie hier, um den reduzierten Inhalt unten zu erweitern, und Details zu den Stamm- und Zwischenzertifikaten zu erhalten, die zum Signieren der folgenden Cloudflare-Zertifikate verwendet werden:

Digicert

Klicken Sie hier, um den reduzierten Inhalt unten zu erweitern, und Details zu den Stamm- und Zwischenzertifikaten zu erhalten, die zum Signieren der folgenden Cloudflare-Zertifikate verwendet werden:


Verwandte Ressourcen

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk