Cloudflare hat eine radikale Entscheidung getroffen: Ab sofort werden Verbindungen über das unsichere HTTP-Protokoll nicht mehr akzeptiert. Dies bedeutet, dass Entwickler und Unternehmen, die weiterhin auf unverschlüsselte HTTP-Verbindungen setzen, vor großen Herausforderungen stehen. In einem offiziellen Blogbeitrag kündigte Cloudflare an, dass ab sofort nur noch Anfragen über das sichere HTTPS-Protokoll durchgelassen werden, um die Sicherheit sensibler Daten zu gewährleisten.

Was bedeutet das konkret?

HTTP überträgt Daten unverschlüsselt, wodurch diese während der Übertragung von Hackern abgefangen werden können. Bei sogenannten Man-in-the-Middle-Angriffen (MitM) könnten Angreifer die Kommunikation im WLAN eines Nutzers oder im Netzwerk seines Internetanbieters stören und auf so vertrauliche Informationen wie API-Token zugreifen, die oft bereits beim Verbindungsaufbau übermittelt werden.

Vor dieser Umstellung

hat Cloudflare unverschlüsselte HTTP-Anfragen mit einem Statuscode 403 (Forbidden) abgelehnt, was jedoch nicht ausreichend Sicherheitsgarantie bot, da in der Zwischenzeit bereits eine Verbindung angefragt worden sein kann, wodurch Token potenziell kompromittiert wurden.

Um dieses Risiko jetzt endgültig zu eliminieren

hat Cloudflare alle HTTP-Ports auf api.cloudflare.com geschlossen. Zukünftig werden HTTP-Anfragen direkt auf der Transportschicht blockiert, was bedeutet, dass jegliche Übertragungen im Klartext gar nicht mehr stattfinden können. Cloudflare plant auch, seinen Kunden die Möglichkeit zu geben, eigene Domains auf die gleiche Weise abzusichern.

"Alle unverschlüsselten Verbindungen zu api.cloudflare.com werden ab sofort komplett abgelehnt," erklärte der Konzern. "Entwickler sollten nicht mehr erwarten, eine 403-Forbidden-Antwort zu erhalten, da der Verbindungsaufbau bereits im Vorfeld unterbunden wird. Nur sichere HTTPS-Verbindungen werden akzeptiert."

Ein erheblicher Anteil betroffener HTTP-Anfragen

Laut Cloudflare wird diese Umstellung ungefähr zwei bis drei Prozent aller wahrscheinlich menschlich initiierten HTTP- und HTTPS-Anfragen betreffen, die bislang noch auf die unverschlüsselte Variante basierten. Alarmierend ist der Anteil von 16 Prozent bei als „wahrscheinlich automatisiert“ klassifizierten Anfragen.

Die zunehmenden Warnungen moderner Webbrowser

vor unsicheren HTTP-Verbindungen sind nicht zu ignorieren. Viele HTTP-Anfragen werden jedoch oft von veralteten Anwendungen verarbeitet, die es den Nutzern unmöglich machen, auf HTTPS zu wechseln. In diesen Fällen liegt es in der Verantwortung der Entwickler, ihre Software auf den neuesten Stand zu bringen, um sicherheitsrelevante Funktionseinschränkungen zu vermeiden.

Fazit

Es ist jetzt der perfekte Zeitpunkt, um die eigene Entwicklung auf den Prüfstand zu stellen – denn wer das nicht tut, könnte bald auf ernsthafte Probleme stoßen! Nutzen Sie die Chance, Ihre Anwendungen abzusichern und gegen die Bedrohungen der digitalen Welt zu wappnen!