Suporte da Cloudflare à criptografia, aos navegadores e ao protocolo SSL

Entenda quais tipos de criptografia e protocolos de TLS são suportados pela Cloudflare. Saiba quais navegadores oferecem suporte aos certificados SSL da Cloudflare e quais certificados intermediários e raiz são utilizados para assinar os certificados da Cloudflare.


Suporte da Cloudflare à criptografia TLS/SSL

Já que a criptografia de tráfego ocorre entre os visitantes do site e a Cloudflare ou entre a Cloudflare e o seu servidor web de origem, a Cloudflare faz uma distinção entre:

Protocolos de criptografia TLS/SSL do servidor web de origem suportados pela Cloudflare

Dependendo da opção de SSL especificada no aplicativo SSL/TLS da Cloudflare, a Cloudflare se conectará a um servidor web de origem com HTTP ou HTTPS. Segue abaixo a lista de protocolos de criptografia SSL do servidor de origem suportados pela Cloudflare para TLS 1.3, TLS 1.2 e versões anteriores de TLS ao se conectar ao seu servidor web de origem com HTTPS:


TLS 1.2 e versões anteriores de TLS:

  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-SHA
  • AES128-GCM-SHA256
  • AES128-SHA
  • ECDHE-RSA-AES256-SHA384
  • AES256-SHA
  • DES-CBC3-SHA

TLS 1.3:

Nome do conjunto de cifras (IANA)

Conjunto de cifras (valor octal)

TLS_AES_128_GCM_SHA256

{0x13,0x01}

TLS_AES_256_GCM_SHA384

{0x13,0x02}

TLS_CHACHA20_POLY1305_SHA256

{0x13,0x03}

 

Os protocolos de criptografia TLS/SSL da Cloudflare

O conjunto de cifras a ser usado é determinado pelas configurações, tanto do navegador do cliente quanto do servidor web, e não pelo certificado SSL. Quando um navegador inicia uma conexão HTTPS, ele envia uma lista dos conjuntos de cifras que ele suporta. O servidor web, em seguida, seleciona qual conjunto ele quer usar.

Atualmente, a Cloudflare prefere negociar uma conexão usando o AES128. Para usar o AES256, o navegador de um cliente precisa ter um conjunto de cifras de 256 bits implementado. Nossa preferência por utilizar AES128 poderá mudar no futuro.

Segue abaixo a lista de protocolos de criptografia SSL que a Cloudflare suporta para TLS 1.3, TLS 1.2 e versões de TSL mais antigas para os clientes de planos pagos:

 

Nome do OpenSSL

TLS 1.0

TLS 1.1

TLS 1.2

TLS 1.3

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-CHACHA20-POLY1305

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-CHACHA20-POLY1305

ECDHE-ECDSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA256

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA256

AES256-SHA

DES-CBC3-SHA

AEAD-AES128-GCM-SHA256 

AEAD-AES256-GCM-SHA384 

AEAD-CHACHA20-POLY1305-SHA256

Para obter os detalhes mais atualizados da configuração de SSL da Cloudflare, consulte o nosso repositório público de configurações de SSL.

A Cloudflare não suporta os conjuntos de cifras RC4.
Para os domínios gratuitos que utilizam o Universal SSL são emitidos certificados SHA2+ECDSA. Isso requer navegadores de clientes que ofereçam suporte à criptografia de curvas elípticas (ECC) e SNI.

Suporte da Cloudflare ao protocolo TLS/SSL

Para estabelecer conexões SSL entre um visitante e a Cloudflare, a Cloudflare usa apenas os protocolos TLS 1.0, TLS 1.1, TLS 1.2 e TLS 1.3 .

O TLS 1.2 tornou-se o padrão do setor em 2008. Tanto o Conselho de Padrões de Segurança da Payment Cards Industry (PCI SSC) quanto o Instituto Nacional de Padrões e Tecnologia (NIST) endossam o TLS 1.2 para proporcionar uma segurança mais rigorosa na web.

O SSLv3 não é suportado devido a vulnerabilidades de segurança. O TLS versão 1.0 é considerado inseguro devido à sua vulnerabilidade a ataques como o BEAST e o POODLE.

Suporte da Cloudflare ao navegador TLS/SSL

A Cloudflare implanta mais certificados SSL para os planos pagos do que para os Free plans. Isso permite que os planos pagos suportem determinados dispositivos mais antigos. Para obter informações sobre quais protocolos e tipos de criptografia SSL são suportados por seu navegador atual, visite o site https://www.ssllabs.com/ssltest/viewMyClient.html.

Suporte a navegadores modernos para os domínios de planos pagos da Cloudflare

Os certificados SSL da Cloudflare utilizam a extensão SAN (Nomes de Assunto Alternativos) para oferecer suporte a diversos domínios no mesmo certificado SSL.  Além disso, os Dedicated Certificates e os Universal SSL Certificates utilizam a Indicação de Nome de Servidor (SNI) com o Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA). Os certificados com SNI e ECDSA funcionam com os seguintes navegadores modernos:

Navegadores de desktop instalados no Windows Vista ou no OS X 10.6 ou posterior:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (com TLS 1.1 habilitado)
  • Google Chrome versão 5.0.342.0
  • Safari 2.1

Navegadores móveis:

  • Safari móvel para iOS 4.0
  • Android 3.0 (Honeycomb) e posterior
  • Windows Phone 7

Suporte a navegadores modernos nos domínios gratuitos da Cloudflare

Devido ao fato de que um número menor de certificados SSL é fornecido para domínios da Cloudflare nos Free plans, o suporte a navegadores SSL para os domínios gratuitos é limitado a navegadores ligeiramente mais novos:

Navegadores de desktop com suporte mínimo:

  • Firefox 2
  • Internet Explorer 7 no Windows Vista
  • Windows Vista ou OS X 10.6 com:
    • Chrome 5.0.342.0
    • Opera 14
    • Safari 4

Navegadores móveis com suporte mínimo:

  • Mobile Safari no iOS 4.0
  • Android 4.0 ("Ice Cream Sandwich")
  • Windows Phone 7

SSLs intermediários e raiz utilizados para assinar os certificados da Cloudflare

Os certificados Universal SSL são emitidos pela Sectigo ou pela DigiCert. Os certificados SSL dedicados e SSL for SaaS são emitidos pela DigiCert.

Sectigo

Clique para expandir abaixo o conteúdo escondido e obter detalhes sobre os certificados raiz e intermediários utilizados para assinar os seguintes certificados da Cloudflare:

Digicert

Clique para expandir abaixo o conteúdo escondido e obter detalhes sobre os certificados raiz e intermediários utilizados para assinar os seguintes certificados da Cloudflare:


Recursos relacionados

Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.