Mobil uygulamalar ve IoT cihazları goz onunde bulundurularak, API Shield'in ilk surumu ile mTLS'yi başlattık. İstemci tarafı sertifikalarla guclu kimlik doğrulamayı zorunlu kılmak, trafiği genel olarak veri hırsızlığından ve kotuye kullanımdan korumak icin cok etkili bir onlemdir. Bununla birlikte, bir IoT cihazının veya cep telefonunun calınması, kaybolması veya kontrolu kotu niyetli bir aktor tarafından ele gecirilmesi durumunda, Cloudflare kullanıcılarının potansiyel bir guvenlik riski olarak kabul edilen sertifikayı iptal etmenin bir yolunu bulmaları gerekir. Guvenliği ihlal edilen cihazlardan gelen trafiği kalıcı olarak dışlama yeteneğine sahip olmak, veri kaybını ve kotu niyetli saldırıları onlemenin etkili bir yoludur.

API Shield sertifikalarını uygulamalarına yerleştirmeye başlayan muşterilerimizin coğu, Workers with Workers KV kullanarak bir iptal cozumu uygulamaya koydu. Bu cozum, sertifikalar uzerinde ayrıntılı kontrole izin verse de, muşterilerimizden onemli geliştirme cabası gerektirir ve kolayca olceklenemez.

Guvenlik Haftası icin, tek bir kod satırı yazmaya gerek kalmadan sertifikaları iptal etmek (ve geri yuklemek) icin tam olarak yonetilen bir cozum sunuyoruz. Sertifikalarınızın yayınlamadan iptaline kadar tum yaşam dongusunu bizim sınırımızda yonetmek icin basit bir arayuz oluşturduk. Bunu sizin icin hallediyoruz, boylece karmaşık ve maliyetli bir Genel Anahtar Altyapısı (PKI) kurma ve potansiyel olarak riskli cihazların iptalini yonetme konusunda endişelenmenize gerek kalmadan uygulamanızı oluşturmaya odaklanabilirsiniz. Muşteri temas noktaları, istemci sertifikası sekmesindeki yeni bir 'İptal Et' ve 'Geri Yukle' duğmesi, destekleyen API cağrıları ve Guvenlik Duvarı Kuralları icin yeni bir alandır.

Cloudflare'nın ucuna bir sertifika sunan her istekte iki Guvenlik Duvarı alanı ayarlanmış olacaktır: cf.tls_client_auth.cert_verified ve cf.tls_client_auth.cert_revoked. İstek, kullanıcıların bu alanları diğer tum Guvenlik Duvarı işlevleriyle birleştirebileceği Guvenlik Duvarı tarafından işlenir. Bu, muşterilerin sertifikanın doğrulanmış veya doğrulanmış ancak iptal edilmiş olmasına bağlı olarak farklı davranışlar belirlemelerine olanak tanır. Ayrıca, son kullanıcılar icin iyi bir deneyim sağlarken gerekli guvenlik politikasını uygulamanıza da olanak tanır. Klasik bir yapılandırma, istisnayı kullanıcılarınızın yolculuğunun gerektirdiği şekilde işlemek icin iptal edilen sertifikalardan gelen istekleri farklı bir sayfaya veya uc noktaya iletirken yalnızca doğrulanmış bir sertifikaya sahip isteklere izin vermektir.