Cloudflare บล็อกทุก Traffic ที่ไม่ได้เข้ารหัสในทุก API Endpoints ของบริษัทแล้ว

จากบล็อกโพสของ Cloudflare ทางบริษัทได้ประกาศปิดการเชื่อมต่อแบบ HTTP ที่ไม่ได้มีการเข้ารหัส (Encryption) ทั้งหมดในทุก API Endpoints ของบริษัทแล้ว โดย api.cloudflare.com จะ รองรับเฉพาะ Traffic ที่ Secure หรือ HTTPS connection เท่านั้น

โดย Cloudflare API นั้นจะช่วยให้นักพัฒนาระบบและผู้ดูแลระบบสามารถบริหารจัดการและดำเนินการในบริการของ Cloudflare ได้แบบอัตโนมัติ ซึ่งถูกใช้เพื่อบริหารจัดการหลากหลายบริการบน Cloudflare เช่น DNS record, การตั้งค่า Firewall, DDoS, Caching, SSL, การจัดการ Zero-Trust หรือ Security เป็นต้น 

และการเคลื่อนไหวครั้งนี้เป็นการป้องกันการร้องขอ API แบบที่ไม่ได้มีการเข้ารหัสไม่ว่าจะเป็นการดำเนินการจากความผิดพลาดหรือโดยเจตนาก็ตาม เพื่อลดความเสี่ยงที่ข้อมูลที่มีความละเอียดอ่อน (Sensitive Data) จะถูกละเมิดเปิดเผยออกไปผ่าน Traffic ที่ไม่ได้เข้ารหัสหรือ HTTP Connection 

“เริ่มต้นแล้ววันนี้ สำหรับ Unencrypted Connection มายัง api.cloudflare.com จะถูก Reject ทิ้งทั้งหมด” Cloudflare ได้ประกาศผ่านทางบล็อกโพสในช่วงปลายสัปดาห์ที่ผ่านมา 

การเปลี่ยนแปลงได้มีผลทันที ดังนั้นหากใครหรือองค์กรใดใช้ HTTP ในการบริหารจัดการ Cloudflare API ไม่ว่าจะผ่าน Script หรือ Bot หรือ Tool ใด ๆ ต้องมีการปรับเปลี่ยนมาเป็น HTTPS แทน รายละเอียดสามารถอ่านได้เพิ่มเติมบนบล็อกโพสของ Cloudflare

ที่มา: https://www.bleepingcomputer.com/news/security/cloudflare-now-blocks-all-unencrypted-traffic-to-its-api-endpoints/