Solicitações Pull Autenticadas

Uma solicitação pull ocorre sempre que a Cloudflare não conseguir servir conteúdo a partir do nosso cache de rede. A Cloudflare habilita as solicitações pull que são autenticadas por meio de um processo de validação de certificado.


Visão geral

A Cloudflare se situa na rede entre os navegadores da web de usuários finais e os servidores de origem do site.  O tráfego vai do navegador da web para a Cloudflare.  Em todas as instâncias, Cloudflare atende à solicitação a partir do cache. Caso isso não ocorra, o navegador volta ao servidor web de origem em uma segunda conexão.  Esse tipo de solicitação é chamado de “solicitação pull”.


Do navegador para a Cloudflare

O vínculo entre a Cloudflare e os navegadores da web do usuário final beneficia-se de uma sólida tecnologia de segurança — criptografia reforçada, SSL com certificados provisionados automaticamente e a infraestrutura de CA pública que mapeia os certificados para os nomes de domínio.  Os navegadores validam o certificado do servidor para garantir que estão se comunicando com o servidor web correto.


Da Cloudflare para o servidor de origem

A Solicitação Pull Autenticada permite que os servidores web de origem validem de forma consistente que determinada solicitação da web é proveniente da Cloudflare.  Utilizamos uma autenticação de certificado de cliente TLS, um recurso suportado pela maioria dos servidores web, e ao estabelecer uma conexão entre a Cloudflare e o servidor de origem apresentamos um certificado da Cloudflare.  Com a validação desse certificado na configuração do servidor de origem, o acesso pode ficar limitado às conexões da Cloudflare.

A Solicitação Pull Autenticada é particularmente importante quando o cliente estiver se beneficiando das recursos de segurança do WAF (Web Application Firewall) da Cloudflare.  Ao utilizar a Solicitação Pull Autenticada com uma configuração restrita à Cloudflare, os sites podem ter certeza de que todo o tráfego foi processado por um Web Application Firewall de última geração.

 
Assim que as Solicitações Pull Autenticadas forem implementadas pelo seu servidor de origem, quaisquer solicitações de HTTPS à sua origem fora da Cloudflare passarão a falhar, incluindo as dirigidas aos registros marcados com nuvens cinza na Cloudflare.

Handshake TLS

Sem as Solicitações Pull Autenticadas, as sessões TLS entre a Cloudflare e a origem são vistas como:

Handshake TLS normal

Com as Solicitações Pull Autenticadas, as conexões são vistas como:

Handshake TLS autenticado pelo cliente


Instalações em Apache e NGINX

 
Atualmente, a funcionalidade de Solicitação Pull Autenticada é incompatível com o Railgun.

Clique abaixo para expandir as instruções sobre como configurar as Solicitações Pull Autenticadas para TLS nos servidores web de origem, tanto para NGINX quanto para Apache:


Certificado de solicitação da origem

A Cloudflare usa a seguinte Autoridade de Certificação para assinar certificados para o serviço de Solicitação Pull Autenticada:

Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.