115/68 (IT) ประจำวันอังคารที่ 25 มีนาคม 2568
Cloudflare ผู้ให้บริการเครือข่ายและความปลอดภัยชั้นนำ ประกาศปิดการเชื่อมต่อผ่านโปรโตคอล HTTP สำหรับ api.cloudflare[.]com โดยสมบูรณ์ เพื่อบังคับใช้เฉพาะ HTTPS ที่มีการเข้ารหัสข้อมูลเท่านั้น โดยมีเป้าหมายกำจัดความเสี่ยงจากการรั่วไหลของข้อมูล เช่น คีย์ API หรือโทเค็น ผ่านช่องทางที่ไม่ปลอดภัย โดยเฉพาะบนเครือข่ายสาธารณะที่เสี่ยงต่อการโจมตีแบบ Man-in-the-Middle ก่อนหน้านี้ แม้ Cloudflare จะปฏิเสธหรือเปลี่ยนเส้นทางคำขอ HTTP แต่อาจมีช่องโหว่ให้ข้อมูลถูกดักจับได้ การปิดพอร์ต HTTP ทั้งหมด จึงเป็นการตัดวงจรการรับส่งข้อความธรรมดาตั้งแต่ต้นทาง ป้องกันไม่ให้เกิดการเชื่อมต่อแบบไม่เข้ารหัสแม้ในระดับเลเยอร์การขนส่ง (Transport Layer)
การเปลี่ยนแปลงส่งผลทันทีต่อผู้ที่ยังใช้งาน HTTP กับ API ของ Cloudflare ส่งผลให้สคริปต์ บอท หรือเครื่องมืออัตโนมัติที่ใช้โปรโตคอลนี้หยุดทำงานทันที โดยเฉพาะระบบเก่า อุปกรณ์ IoT และไคลเอนต์ที่ไม่ได้ตั้งค่า HTTPS เป็นค่าเริ่มต้น Cloudflare ระบุว่าแม้ปริมาณการใช้งาน HTTP บนเครือข่ายตนเองอยู่ที่ 2.4% แต่ในส่วนการรับส่งข้อมูลอัตโนมัติ ตัวเลขนี้พุ่งสูงถึง 17% จึงแนะนำให้ลูกค้าตรวจสอบแดชบอร์ดในส่วน การวิเคราะห์และบันทึก > ปริมาณการรับส่งข้อมูลที่ให้บริการผ่าน SSL เพื่อประเมินผลกระทบ พร้อมเตรียมเปิดตัวตัวเลือกปิดการรับส่ง HTTP แบบปลอดภัยให้ลูกค้าเว็บไซต์ฟรีภายในปลายปีนี้
API ของ Cloudflare เป็นเครื่องมือสำคัญสำหรับนักพัฒนาและผู้ดูแลระบบในการจัดการ DNS, ไฟร์วอลล์, การป้องกัน DDoS, การตั้งค่า SSL และบริการอื่น ๆ โดยก่อนหน้านี้ ระบบอนุญาตให้เรียกใช้ API ผ่านทั้ง HTTP และ HTTPS โดยเปลี่ยนเส้นทางหรือตอบกลับด้วยรหัส 403 Forbidden แต่ปัจจุบัน Cloudflare ปฏิเสธการเชื่อมต่อ HTTP แบบถาวรโดยไม่ตอบสนองใด ๆ เพื่อบังคับใช้ HTTPS ตั้งแต่เริ่มต้น นโยบายนี้สอดคล้องกับแนวทางรักษาความปลอดภัยยุคใหม่ที่มุ่งกำจัดช่องโหว่จากการเข้ารหัสล้าสมัย สะท้อนความมุ่งมั่นในการปกป้องข้อมูลผู้ใช้แม้ในระดับการเชื่อมต่อพื้นฐานที่สุด
