Extractions à l’origine authentifiées

Une extraction à l’origine se produit chaque fois que Cloudflare ne peut fournir du contenu à partir de son cache réseau. Cloudflare active les extractions à l’origine authentifiées via un processus de validation de certificat.


Présentation

Cloudflare se trouve sur le réseau entre les navigateurs Web des utilisateurs finaux et les serveurs d’origine du site Web.  Le trafic va du navigateur à Cloudflare.  Cloudflare répond à la requête à partir du cache, lorsque cela est possible. Sinon, une deuxième connexion est établie avec le serveur Web d’origine.  Ce type de requête est une extraction à l’origine.


Du navigateur à Cloudflare

Le lien entre les navigateurs des utilisateurs finaux et Cloudflare bénéficie d’une technologie de sécurité élevée : chiffrements puissants, SSL avec certificats fournis automatiquement et infrastructure d’autorité de certification publique qui mappe les certificats aux noms de domaine.  Les navigateurs valident le certificat du serveur pour s’assurer qu’ils communiquent avec le bon serveur Web.


De Cloudflare au serveur d’origine

Les extractions à l’origine authentifiées permettent aux serveurs Web d’origine de valider de manière sûre qu’une requête Web provient de Cloudflare.  Nous utilisons l’authentification par certificat client TLS, une fonctionnalité prise en charge par la plupart des serveurs Web, et présentons un certificat Cloudflare lors de l’établissement d’une connexion entre Cloudflare et le serveur d’origine.  En validant ce certificat dans la configuration du serveur d’origine, l’accès peut être limité aux connexions Cloudflare.

Les extractions à l’origine authentifiées sont particulièrement importantes pour tirer parti des fonctionnalités de sécurité du WAF (Web Application Firewall) de Cloudflare.  En utilisant des extractions à l’origine authentifiées avec une configuration restreinte à Cloudflare, les sites Web peuvent être certains que tout le trafic a été traité par le Web Application Firewall, notre pare-feu à la pointe de la technologie.

 
Une fois que les extractions à l’origine authentifiées sont appliquées par votre serveur d’origine, toutes les demandes HTTPS en dehors de Cloudflare adressées à votre origine échoueront, y compris celles vers des enregistrements avec nuage gris sur Cloudflare.

Négociation TLS

Sans extractions à l’origine authentifiées, la session TLS entre Cloudflare et l’origine se présente comme suit :

Négociation TLS normale

Avec les extractions à l’origine authentifiées, les connexions se présentent comme suit :

Négociation TLS authentifiée par le client


Installation sur Apache et NGINX

 
Actuellement, la fonctionnalité d’extractions à l’origine authentifiées est incompatible avec Railgun.

Cliquez ci-dessous pour développer les instructions de configuration des extractions à l’origine authentifiées TLS pour les serveurs Web d’origine NGINX ou Apache :


Certificat d’extraction à l’origine

Cloudflare utilise l’autorité de certification suivante pour signer les certificats du service d’extractions à l’origine authentifiées :

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk