Uma solicitação pull ocorre sempre que a Cloudflare não conseguir servir conteúdo a partir do nosso cache de rede. A Cloudflare habilita as solicitações pull que são autenticadas por meio de um processo de validação de certificado.
Visão geral
A Cloudflare se situa na rede entre os navegadores da web de usuários finais e os servidores de origem do site. O tráfego vai do navegador da web para a Cloudflare. Em todas as instâncias, Cloudflare atende à solicitação a partir do cache. Caso isso não ocorra, o navegador volta ao servidor web de origem em uma segunda conexão. Esse tipo de solicitação é chamado de “solicitação pull”.
Do navegador para a Cloudflare
O vínculo entre a Cloudflare e os navegadores da web do usuário final beneficia-se de uma sólida tecnologia de segurança — criptografia reforçada, SSL com certificados provisionados automaticamente e a infraestrutura de CA pública que mapeia os certificados para os nomes de domínio. Os navegadores validam o certificado do servidor para garantir que estão se comunicando com o servidor web correto.
Da Cloudflare para o servidor de origem
A Solicitação Pull Autenticada permite que os servidores web de origem validem de forma consistente que determinada solicitação da web é proveniente da Cloudflare. Utilizamos uma autenticação de certificado de cliente TLS, um recurso suportado pela maioria dos servidores web, e ao estabelecer uma conexão entre a Cloudflare e o servidor de origem apresentamos um certificado da Cloudflare. Com a validação desse certificado na configuração do servidor de origem, o acesso pode ficar limitado às conexões da Cloudflare.
A Solicitação Pull Autenticada é particularmente importante quando o cliente estiver se beneficiando das recursos de segurança do WAF (Web Application Firewall) da Cloudflare. Ao utilizar a Solicitação Pull Autenticada com uma configuração restrita à Cloudflare, os sites podem ter certeza de que todo o tráfego foi processado por um Web Application Firewall de última geração.
Handshake TLS
Sem as Solicitações Pull Autenticadas, as sessões TLS entre a Cloudflare e a origem são vistas como:
Com as Solicitações Pull Autenticadas, as conexões são vistas como:
Instalações em Apache e NGINX
Clique abaixo para expandir as instruções sobre como configurar as Solicitações Pull Autenticadas para TLS nos servidores web de origem, tanto para NGINX quanto para Apache:
Em seguida, adicione as seguintes linhas à configuração de SSL do seu servidor web de origem:
SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile /path/to/origin-pull-ca.pem
Em seguida, adicione as seguintes linhas à configuração de SSL do seu servidor web de origem:
ssl_client_certificate /etc/nginx/certs/cloudflare.crt; ssl_verify_client on;
Certificado de solicitação da origem
A Cloudflare usa a seguinte Autoridade de Certificação para assinar certificados para o serviço de Solicitação Pull Autenticada: