Cloudflare供用戶一鍵替主機名添加TLS憑證

Cloudflare現(xiàn)在讓用戶一鍵替域名中的每個子域名頒發(fā)單獨的TLS憑證，這個稱為Total TLS的新功能，可以讓用戶的子域名獲得額外的TLS憑證覆蓋，確安全全連接不出錯。

在默認的情況下，所有Cloudflare用戶都會獲得一個免費的TLS憑證，這是Cloudflare在2014年發(fā)布的Universal SSL功能，該憑證會涵蓋該域名的Apex和Wildcard，官方解釋，雖然Universal SSL對大多數(shù)的用戶已經(jīng)足夠，但對于部分擁有更深子域名的用戶可能不夠。

為此，Cloudflare又構(gòu)建了Advanced Certificate Manager，供用戶對主機名頒發(fā)憑證，也就是當(dāng)Universal SSL不足，用戶便可以使用Advanced Certificate的UI或是API，來請求涵蓋像是a.b.c.example.com這類更深的子域名，Cloudflare允許用戶可以在Advanced Certificate上放置50個主機名。

但是這困擾之處在于，用戶需要提供Cloudflare需要保護的主機名，通過使用Advanced Certificate的API，設(shè)置需要保護的主機名，但官方提到，這個過程容易出錯，也并非是容易擴展的方法。

事實上，Cloudflare作為DNS供應(yīng)商，便會知道用戶有哪些子域名需要保護，因此Total TLS便是對Cloudflare網(wǎng)絡(luò)代理其流量的每個子域名，都能夠自動頒發(fā)TLS憑證。Total TLS提供一鍵操作按鈕，激活之后會對用戶域名中每個經(jīng)代理的DNS記錄，自動頒發(fā)TLS憑證，如此用戶就能方便地添加任意數(shù)量的DNS記錄和子域名，且不用擔(dān)心漏掉沒有被TLS憑證覆蓋。

Total TLS為Advanced Certificate Manager底下的功能，將Cloudflare作為權(quán)威DNS供應(yīng)商的域名用戶，便可以通過Cloudflare儀表板或API激活該功能，并且選擇Let’s Encrypt或Google Trust Services等憑證頒發(fā)機構(gòu)。另外，Cloudflare還提供了TLS憑證覆蓋可見性，對于用戶創(chuàng)建、查看或編輯經(jīng)代理的DNS記錄，對欠缺的TLS憑證覆蓋發(fā)出警告，避免出現(xiàn)沒有安全連接的錯誤。