Entenda quais tipos de criptografia e protocolos de TLS são suportados pela Cloudflare. Saiba quais navegadores oferecem suporte aos certificados SSL da Cloudflare e quais certificados intermediários e raiz são utilizados para assinar os certificados da Cloudflare.
Suporte da Cloudflare à criptografia TLS/SSL
Já que a criptografia de tráfego ocorre entre os visitantes do site e a Cloudflare ou entre a Cloudflare e o seu servidor web de origem, a Cloudflare faz uma distinção entre:
- Os protocolos de criptografia TLS/SSL do servidor web de origem suportados pela Cloudflare; e
- Os protocolos de criptografia TLS/SSL da Cloudflare
Protocolos de criptografia TLS/SSL do servidor web de origem suportados pela Cloudflare
Dependendo da opção de SSL especificada no aplicativo SSL/TLS da Cloudflare, a Cloudflare se conectará a um servidor web de origem com HTTP ou HTTPS. Segue abaixo a lista de protocolos de criptografia SSL do servidor de origem suportados pela Cloudflare para TLS 1.3, TLS 1.2 e versões anteriores de TLS ao se conectar ao seu servidor web de origem com HTTPS:
TLS 1.2 e versões anteriores de TLS:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA
- AES128-GCM-SHA256
- AES128-SHA
- ECDHE-RSA-AES256-SHA384
- AES256-SHA
- DES-CBC3-SHA
TLS 1.3:
Nome do conjunto de cifras (IANA) | Conjunto de cifras (valor octal) |
TLS_AES_128_GCM_SHA256 | {0x13,0x01} |
TLS_AES_256_GCM_SHA384 | {0x13,0x02} |
TLS_CHACHA20_POLY1305_SHA256 | {0x13,0x03} |
Os protocolos de criptografia TLS/SSL da Cloudflare
O conjunto de cifras a ser usado é determinado pelas configurações, tanto do navegador do cliente quanto do servidor web, e não pelo certificado SSL. Quando um navegador inicia uma conexão HTTPS, ele envia uma lista dos conjuntos de cifras que ele suporta. O servidor web, em seguida, seleciona qual conjunto ele quer usar.
Atualmente, a Cloudflare prefere negociar uma conexão usando o AES128. Para usar o AES256, o navegador de um cliente precisa ter um conjunto de cifras de 256 bits implementado. Nossa preferência por utilizar AES128 poderá mudar no futuro.
Segue abaixo a lista de protocolos de criptografia SSL que a Cloudflare suporta para TLS 1.3, TLS 1.2 e versões de TSL mais antigas para os clientes de planos pagos:
Nome do OpenSSL | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 |
ECDHE-ECDSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA | ✅ | ✅ | ✅ | ❌ |
AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA | ✅ | ✅ | ✅ | ❌ |
DES-CBC3-SHA | ✅ | ❌ | ❌ | ❌ |
AEAD-AES128-GCM-SHA256 | ❌ | ❌ | ❌ | ✅ |
AEAD-AES256-GCM-SHA384 | ❌ | ❌ | ❌ | ✅ |
AEAD-CHACHA20-POLY1305-SHA256 | ❌ | ❌ | ❌ | ✅ |
Para obter os detalhes mais atualizados da configuração de SSL da Cloudflare, consulte o nosso repositório público de configurações de SSL.
Suporte da Cloudflare ao protocolo TLS/SSL
Para estabelecer conexões SSL entre um visitante e a Cloudflare, a Cloudflare usa apenas os protocolos TLS 1.0, TLS 1.1, TLS 1.2 e TLS 1.3 .
O TLS 1.2 tornou-se o padrão do setor em 2008. Tanto o Conselho de Padrões de Segurança da Payment Cards Industry (PCI SSC) quanto o Instituto Nacional de Padrões e Tecnologia (NIST) endossam o TLS 1.2 para proporcionar uma segurança mais rigorosa na web.
Suporte da Cloudflare ao navegador TLS/SSL
A Cloudflare implanta mais certificados SSL para os planos pagos do que para os Free plans. Isso permite que os planos pagos suportem determinados dispositivos mais antigos. Para obter informações sobre quais protocolos e tipos de criptografia SSL são suportados por seu navegador atual, visite o site https://www.ssllabs.com/ssltest/viewMyClient.html.
Suporte a navegadores modernos para os domínios de planos pagos da Cloudflare
Os certificados SSL da Cloudflare utilizam a extensão SAN (Nomes de Assunto Alternativos) para oferecer suporte a diversos domínios no mesmo certificado SSL. Além disso, os Dedicated Certificates e os Universal SSL Certificates utilizam a Indicação de Nome de Servidor (SNI) com o Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA). Os certificados com SNI e ECDSA funcionam com os seguintes navegadores modernos:
Navegadores de desktop instalados no Windows Vista ou no OS X 10.6 ou posterior:
- Internet Explorer 7
- Firefox 2
- Opera 8 (com TLS 1.1 habilitado)
- Google Chrome versão 5.0.342.0
- Safari 2.1
Navegadores móveis:
- Safari móvel para iOS 4.0
- Android 3.0 (Honeycomb) e posterior
- Windows Phone 7
Suporte a navegadores modernos nos domínios gratuitos da Cloudflare
Devido ao fato de que um número menor de certificados SSL é fornecido para domínios da Cloudflare nos Free plans, o suporte a navegadores SSL para os domínios gratuitos é limitado a navegadores ligeiramente mais novos:
Navegadores de desktop com suporte mínimo:
- Firefox 2
- Internet Explorer 7 no Windows Vista
- Windows Vista ou OS X 10.6 com:
- Chrome 5.0.342.0
- Opera 14
- Safari 4
Navegadores móveis com suporte mínimo:
- Mobile Safari no iOS 4.0
- Android 4.0 ("Ice Cream Sandwich")
- Windows Phone 7
SSLs intermediários e raiz utilizados para assinar os certificados da Cloudflare
Os certificados Universal SSL são emitidos pela Sectigo ou pela DigiCert. Os certificados SSL dedicados e SSL for SaaS são emitidos pela DigiCert.
Sectigo
Clique para expandir abaixo o conteúdo escondido e obter detalhes sobre os certificados raiz e intermediários utilizados para assinar os seguintes certificados da Cloudflare:
Nível | Nome comum | Série | Impressão digital SHA-1 | Baixar |
Raiz | AddTrust External CA Root | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
Intermediário 1 | Sectigo ECC Certification Authority | 4352023FFAA8901F139FE3F4E5C1444E | AE223CBF20191B40D7FFB4EA5701B65FDC68A1CA | |
Intermediário 2 | Sectigo ECC Domain Validation Secure Server CA 2 | 5B25CE6907C4265566D3390C99A954AD | 75CFD9BC5CEFA104ECC1082D77E63392CCBA5291 |
Nível | Nome comum | Série | Impressão digital SHA-1 | Baixar |
Raiz | AddTrust External CA Root | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
Intermediário 1 | Sectigo RSA Certification Authority | 2766EE56EB49F38EABD770A2FC84DE22 | F5AD0BCC1AD56CD150725B1C866C30AD92EF21B0 | |
Intermediário 2 | Sectigo RSA Domain Validation Secure Server CA 2 | 0BA2D01DCBCB7776E8AC65097AC12541 | 0BC249478F120F146D5714970A088A3A30C9ED07 |
Digicert
Clique para expandir abaixo o conteúdo escondido e obter detalhes sobre os certificados raiz e intermediários utilizados para assinar os seguintes certificados da Cloudflare:
Nível | Nome comum | Série | Impressão digital SHA-1 | Baixar |
Raiz | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
Intermediário | CloudFlare Inc ECC CA-2 | 0FF3E61639AA3D1A1265F41F8B34E5B6 | 6B53C3B358CEF368201F8741B9C5AEDEEA3861FA |
Nível | Nome comum | Série | Impressão digital SHA-1 | Baixar |
Raiz | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
Intermediário | CloudFlare Inc RSA CA-1 | 060DD6C1D067901B5475FCFFC29E3137 | 2AA2B8A223DA08798599B54DE4121757ABA33341 |