這篇要介紹的是 CloudFlare 連線加密的設定。Crypto 的部分基本上是用來設定 SSL 連線跟 HSTS,以下會一一介紹 Crypto 標籤頁裡面每一個項目。
首先請您點到第四個「Crypto」標籤頁。
第一個大項就是「SSL」設定,SSl 的部分分別有四個選項:
- Off: 代表關閉 SSL 支援
- Flexible: 代表 CloudFlare 會透過未加密的方式 (HTTP) 存取您的主機,再透過 HTTPS 的方式跟客戶端連線,所以客戶端可以透過 HTTPS 連線您的網站。
- Full: 代表 CloudFlare 會透過 HTTPS 與您的主機連線,同時也透過 HTTPS 跟客戶端連線。
- Full (Strict): 與字意一樣,強制使用 HTTPS 連線,且只接受受信任的憑證。
這邊該如何選擇呢?如果您的網站主機不支援 HTTPS 連線,但您想讓用戶透過 HTTPS 存取你的網站,就可以選擇 Flexible 模式;若你的網站本身就支援 HTTPS,那推薦您選擇 Full (Strict) 模式。
下一個項目則是 HSTS 設定,簡單來說就是強制用戶端使用 HTTPS 連線網站 (如果突然 HTTPS 連線無法運作,也不允許透過 HTTP 連線)。這個設定主要是避免網站被惡意導向到 HTTP (非加密) 路徑,只要用戶透過 HTTPS 連線過網站,以後就只透過 HTTPS 連線網站。
點右邊的按鈕可以設定,這邊比較囉唆先陳列一些提醒事項。
這邊第一個選項是是否啟用 HSTS,第二個則是表頭快取時間 (選六個月就可以),第三個是套用 HSTS 設定到所有子網域 (也就是網域下所有網站),第四個是允許瀏覽器預先加載 HSTS 設定,最後一個則是一項安全性設定,避免被 MIME 攻擊,打開即可。
最後一項設定比較複雜,不在本文作討論,但如果您非常感興趣也可以參考 CloudFlare 官方介紹文章:https://blog.cloudflare.com/protecting-the-origin-with-tls-authenticated-origin-pulls/。
最後面則是 SSL 憑證的配置,基本上我們會用到的方案都沒辦法變更這些設定。
