本周前26日Google宣布:准备分阶段淘汰Google公共DNS的实验版DoH切换支持RFC 8484标准DoH,7月23日开始将定重向/experimental API到新的域名:dns.google,直至明年2020年6月23日将dns.google.com流量完全转移至dns.google,DoH标准目前在Firefox/Android 9/Cloudflare 公共DNS上支持/工作良好
公告:https://security.googleblog.com/2019/06/google-public-dns-over-https-doh.html
时间线:https://developers.google.com/speed/public-dns/docs/doh/migration#timeline
公告:https://security.googleblog.com/2019/06/google-public-dns-over-https-doh.html
时间线:https://developers.google.com/speed/public-dns/docs/doh/migration#timeline
Cloudflare全球大规模502错误事件说明:由于软件部署不当导致服务中断
北京时间7月2号 21点52分左右开始持续约30分钟,全球访问CloudFlare站点的用户收到了502错误,这些错误是由于Cloudflare网络上的CPU使用率急剧上升造成的。此CPU峰值是由于上线了错误配置引起的。在回滚配置完成重启后,服务恢复正常运行,所有使用CloudFlare的域名恢复正常流量水平。
这不是一次攻击事件(不是一些人推测的那样),我们对这起事件的发生感到非常抱歉。内部团队正在开会,CTO(John Graham-Cumming)写了宕机分析这是如何发生的,以及后续如何防止这种情况再次发生。
此次全局中断的具体原因:发生在常规部署更新新的CloudFlare WAF管理的规则期间,在CloudFlare Web应用程序防火墙(WAF)中部署了配置错误的规则,其中一个规则包含有一个正则表达式,导致节点100%CPU占用。
因为WAF规则是由自动化测试套件在模拟模式下进行,它顺利通过了测试,并被一次性同步推送全球CDN节点上应用部署,因此导致全球集群机器上的CPU峰值达到100%。这100%的CPU峰值最终导致了大量用户访问时看到的502错误。在最糟糕的时候,覆盖了总体流量的82%。
教训:这样的事件对客户造成了巨大的伤害,已有的自动化测试过程的不完善,我们持续审查和改进已有测试-部署过程,以避免将来发生这样的事件
原文:Cloudflare outage caused by bad software deploy
北京时间7月2号 21点52分左右开始持续约30分钟,全球访问CloudFlare站点的用户收到了502错误,这些错误是由于Cloudflare网络上的CPU使用率急剧上升造成的。此CPU峰值是由于上线了错误配置引起的。在回滚配置完成重启后,服务恢复正常运行,所有使用CloudFlare的域名恢复正常流量水平。
这不是一次攻击事件(不是一些人推测的那样),我们对这起事件的发生感到非常抱歉。内部团队正在开会,CTO(John Graham-Cumming)写了宕机分析这是如何发生的,以及后续如何防止这种情况再次发生。
此次全局中断的具体原因:发生在常规部署更新新的CloudFlare WAF管理的规则期间,在CloudFlare Web应用程序防火墙(WAF)中部署了配置错误的规则,其中一个规则包含有一个正则表达式,导致节点100%CPU占用。
因为WAF规则是由自动化测试套件在模拟模式下进行,它顺利通过了测试,并被一次性同步推送全球CDN节点上应用部署,因此导致全球集群机器上的CPU峰值达到100%。这100%的CPU峰值最终导致了大量用户访问时看到的502错误。在最糟糕的时候,覆盖了总体流量的82%。
教训:这样的事件对客户造成了巨大的伤害,已有的自动化测试过程的不完善,我们持续审查和改进已有测试-部署过程,以避免将来发生这样的事件
原文:Cloudflare outage caused by bad software deploy
北京时间7月4号,晚上23点05分左右,不少CFP被Cloudflare标注钓鱼网站并取消合作伙伴接入授权,SuCloud宿云也受影响,暂时无法完成登录验证进行后续服务,用户原本的订阅以及功能权益不受影响(除DNS解析因无法通过CF账号密码登录获得授权Key进行直接在线管理外)
功能使用请前往Cloudflare官方面板( dash.cloudflare.com ),
DNS域名解析使用CF API或者还存活的CF第三方合作伙伴,
合作伙伴的解决办法:已被暂停或者取消合作伙伴的,尽快上线基于CF API的在线操作管理面板,未取消合作伙伴的,加强用户登录验证防止滥用,联系Cloudflare申请恢复授权,解除钓鱼阻截页面提示
第三方合作伙伴CNAME方式接入的用户:临时通过开源的CF面板/客户端或者直接使用CF API管理DNS解析,其它功能在CF官方面板上操作
简述:
主要影响目标:Cloudflare 主机托管合作伙伴(部分)
关键点:取消了合作伙伴接入验证权限,合作伙伴方因无法正常获取API Key导致自主开发的面板无法正常工作(主要受限:DNS解析管理)
谁不受影响?:正常以NS方式接入(无论是否在Cloudflare完成)的用户不受任何影响;已有订阅的功能、权益不受任何影响
注意:通过合作伙伴接入的用户的DNS解析需要绕弯一下(因为你的接入管理方可能已被取消接入授权,直接通过接入方的管理平台可能已无法正常配置解析);需要通过CF API去完成解析更新
功能使用请前往Cloudflare官方面板( dash.cloudflare.com ),
DNS域名解析使用CF API或者还存活的CF第三方合作伙伴,
合作伙伴的解决办法:已被暂停或者取消合作伙伴的,尽快上线基于CF API的在线操作管理面板,未取消合作伙伴的,加强用户登录验证防止滥用,联系Cloudflare申请恢复授权,解除钓鱼阻截页面提示
第三方合作伙伴CNAME方式接入的用户:临时通过开源的CF面板/客户端或者直接使用CF API管理DNS解析,其它功能在CF官方面板上操作
简述:
主要影响目标:Cloudflare 主机托管合作伙伴(部分)
关键点:取消了合作伙伴接入验证权限,合作伙伴方因无法正常获取API Key导致自主开发的面板无法正常工作(主要受限:DNS解析管理)
谁不受影响?:正常以NS方式接入(无论是否在Cloudflare完成)的用户不受任何影响;已有订阅的功能、权益不受任何影响
注意:通过合作伙伴接入的用户的DNS解析需要绕弯一下(因为你的接入管理方可能已被取消接入授权,直接通过接入方的管理平台可能已无法正常配置解析);需要通过CF API去完成解析更新
关于Cloudflare合作伙伴(常识普及)
1,Cloudflare不会因为合作伙伴合理存储使用用户邮箱账号/APIKey/UserKey而导致取消合作伙伴授权,接入CF共享账号授权的合作伙伴同时有个身份叫:自主托管优化服务商
例子:用户登录使用Plesk上Cloudflare拓展插件内置的管理面板;将会无限期保存Cloudflare邮箱账号/APIKey/UserKey直至Plesk管理员手动删除或清空对应数据库。Plesk闭源使用CF HOST API、CF API进行工作,正常使用Plesk面板的主机商(合作伙伴)并不会因此被Cloudflare取消接入授权,其它比如WHMCS也是如此,看不来二者知名面板代码也没关系,细心一点不需要看源码也可以自行轻松测试通过面板反馈得出结论(如果你有看完本文关于CF API Keys介绍)
2,目前已知CF取消合作伙伴授权的一般原因:长期无接入空置,接入账号存在滥用(批量添加所有权不明的域名,长期带宽滥用,撞库,批量注册CF账号等),违反Cloudflare 使用条款(比如:模仿Cloudflare提供服务)
3,Cloudflare给予合作伙伴面向用户的主要权限为:快速创建CF账号、账号密码登录验证、域名接入权限(接入方式:CNAME/NS、一票否决权:无条件移除通过该合作伙伴接入的域名)、需要额外签署合约的Railgun接入管理权限
关于用户账号安全
Cloudflare面向所有用户引入了操作审核日志系统;所有操作无论是用户、CF官方、合作伙伴,无论何时以何种方式操作改变账号下任何配置都将会记录在日志中且任何人以任何方式都不可更改该日志历史记录,以此作为审核排查的重要依据
全文出处:Cloudflare合作伙伴常识以及部分API Key介绍
1,Cloudflare不会因为合作伙伴合理存储使用用户邮箱账号/APIKey/UserKey而导致取消合作伙伴授权,接入CF共享账号授权的合作伙伴同时有个身份叫:自主托管优化服务商
例子:用户登录使用Plesk上Cloudflare拓展插件内置的管理面板;将会无限期保存Cloudflare邮箱账号/APIKey/UserKey直至Plesk管理员手动删除或清空对应数据库。Plesk闭源使用CF HOST API、CF API进行工作,正常使用Plesk面板的主机商(合作伙伴)并不会因此被Cloudflare取消接入授权,其它比如WHMCS也是如此,看不来二者知名面板代码也没关系,细心一点不需要看源码也可以自行轻松测试通过面板反馈得出结论(如果你有看完本文关于CF API Keys介绍)
2,目前已知CF取消合作伙伴授权的一般原因:长期无接入空置,接入账号存在滥用(批量添加所有权不明的域名,长期带宽滥用,撞库,批量注册CF账号等),违反Cloudflare 使用条款(比如:模仿Cloudflare提供服务)
3,Cloudflare给予合作伙伴面向用户的主要权限为:快速创建CF账号、账号密码登录验证、域名接入权限(接入方式:CNAME/NS、一票否决权:无条件移除通过该合作伙伴接入的域名)、需要额外签署合约的Railgun接入管理权限
关于用户账号安全
Cloudflare面向所有用户引入了操作审核日志系统;所有操作无论是用户、CF官方、合作伙伴,无论何时以何种方式操作改变账号下任何配置都将会记录在日志中且任何人以任何方式都不可更改该日志历史记录,以此作为审核排查的重要依据
全文出处:Cloudflare合作伙伴常识以及部分API Key介绍
www.9sep.org
关于Cloudflare合作伙伴常识以及部分API Key介绍 - 9Sep.Org
关于Cloudflare合作伙伴的一些事由以及使用注意事项 1,Cloudflare不会因为合作伙伴合理存储使用用户邮箱账号/APIKey/UserKey而导致取消合作伙伴授权
Cloudflare 部分常见API Keys介绍
APIKey:Cloudflare官方Global API Key的简称,目前CF账号授权使用Cloudflare API的唯一凭证具有全局性,通过API可以管理账号下所有域名在CF上绝大部分的功能设置,用户可以在Cloudflare官方管理面板>>>账号管理页面上随时更换APIKey以注销之前APIKey授权
HostKey:合作伙伴使用CF HOST API唯一凭证以及身份标识,用于CF账号验证、账号创建、Railgun管理、用户域名接入环节
UserKey:由用户授权登录合作伙伴时产生,与合作伙伴一一对应,是用户使用CF HOST API的凭证,主要用于管理域名解析(批量操作,增删改查),UserKey所有操作需要配合HostKey才能正常工作,目前已知Cloudflare公开API文档/示例中未见用户/合作伙伴应该如何更换改变UserKey,该Key长期有效且保持不变
OCAKey:签发源站SSL/TLS证书用途,通过CF API工作
Cloudflare正在灰测按单个域名或功能签发子APIKey以方便团队协作,项目管理,权限分割,敬请期待
全文出处:Cloudflare合作伙伴常识以及部分API Key介绍
APIKey:Cloudflare官方Global API Key的简称,目前CF账号授权使用Cloudflare API的唯一凭证具有全局性,通过API可以管理账号下所有域名在CF上绝大部分的功能设置,用户可以在Cloudflare官方管理面板>>>账号管理页面上随时更换APIKey以注销之前APIKey授权
HostKey:合作伙伴使用CF HOST API唯一凭证以及身份标识,用于CF账号验证、账号创建、Railgun管理、用户域名接入环节
UserKey:由用户授权登录合作伙伴时产生,与合作伙伴一一对应,是用户使用CF HOST API的凭证,主要用于管理域名解析(批量操作,增删改查),UserKey所有操作需要配合HostKey才能正常工作,目前已知Cloudflare公开API文档/示例中未见用户/合作伙伴应该如何更换改变UserKey,该Key长期有效且保持不变
OCAKey:签发源站SSL/TLS证书用途,通过CF API工作
Cloudflare正在灰测按单个域名或功能签发子APIKey以方便团队协作,项目管理,权限分割,敬请期待
全文出处:Cloudflare合作伙伴常识以及部分API Key介绍
Cloudflare正式上线测试 API Tokens功能
现在我们可以为应用/项目在线快速创建按账号、域名、应用(比如:Workers)进行限定权限(读、写)的授权Token分发
现在我们可以快速的分享单个或多个域名的流量数据,对特定用户签发查询API Tokens已方便对外展示/分享数据
我们可以按账号开放域名解析权限、CDN缓存控制权限、审核日志、内部应用访问、防火墙规则、SSL证书、流媒体、CF APP应用等授权粒度,授权粒度可以独立存在或按需按团队内工作角色,自定义分配对应权限,并且提供了常见应用场景授权模板,快速创建快速开始,极大的方便了团队间合作,基本解决了项目管理中的权限分配问题,目前它是免费测试状态(后续未知)
简述
现在Cloudflare管理面板中任意一个或多个功能选项卡现在可以单独授权(API Token)使用;功能权限配置灵活,很方便的分发給团队成员使用或对外提供查询服务,大幅减少团队合作中使用全局API Key在不慎泄露后带来的安全隐患和风险,从管理人员安全转向授权机制确保项目安全、风险可控
访问管理面板: https://dash.cloudflare.com/profile/api-tokens 即可体验
现在我们可以为应用/项目在线快速创建按账号、域名、应用(比如:Workers)进行限定权限(读、写)的授权Token分发
现在我们可以快速的分享单个或多个域名的流量数据,对特定用户签发查询API Tokens已方便对外展示/分享数据
我们可以按账号开放域名解析权限、CDN缓存控制权限、审核日志、内部应用访问、防火墙规则、SSL证书、流媒体、CF APP应用等授权粒度,授权粒度可以独立存在或按需按团队内工作角色,自定义分配对应权限,并且提供了常见应用场景授权模板,快速创建快速开始,极大的方便了团队间合作,基本解决了项目管理中的权限分配问题,目前它是免费测试状态(后续未知)
简述
现在Cloudflare管理面板中任意一个或多个功能选项卡现在可以单独授权(API Token)使用;功能权限配置灵活,很方便的分发給团队成员使用或对外提供查询服务,大幅减少团队合作中使用全局API Key在不慎泄露后带来的安全隐患和风险,从管理人员安全转向授权机制确保项目安全、风险可控
访问管理面板: https://dash.cloudflare.com/profile/api-tokens 即可体验
Cloudflare上线证书透明度监控通知服务
08月08日18时,正式上线开放测试
主要功能:24小时监控CA(证书签发机构)在证书签发时公开披露的证书签发相关信息,Cloudflare在检测到有名下相关域名证书签发时将会发送邮件提醒,已便通知域名所有/管理者在可能发生烂签情况下及时响应并采取应对措施
该项功能服务,在管理面板Crypto(加密)选项卡上开启,目前处于免费公开测试阶段
免费/专业版仅域名账号所有者、指定管理成员邮箱收到通知,商业/企业版可以自定义设置通知邮箱(邮箱不需要在Cloudflare完成注册);添加删除操作可以在面板上随时进行
公告原文:Introducing Certificate Transparency Monitoring
08月08日18时,正式上线开放测试
主要功能:24小时监控CA(证书签发机构)在证书签发时公开披露的证书签发相关信息,Cloudflare在检测到有名下相关域名证书签发时将会发送邮件提醒,已便通知域名所有/管理者在可能发生烂签情况下及时响应并采取应对措施
该项功能服务,在管理面板Crypto(加密)选项卡上开启,目前处于免费公开测试阶段
免费/专业版仅域名账号所有者、指定管理成员邮箱收到通知,商业/企业版可以自定义设置通知邮箱(邮箱不需要在Cloudflare完成注册);添加删除操作可以在面板上随时进行
公告原文:Introducing Certificate Transparency Monitoring
Cloudflare配置更新延迟生效
23:24,多个中国数据中心配置更新延迟一小时左右生效
涉及:通用CDN功能配置、页面规则、防火墙、DNS更新以及SSL证书签发等,配置修改无法实时应用生效
影响集群:Asia (Guangzhou, China - (CAN), Jinan, China - (TNA), Nanning, China - (NNG), Qingdao, China - (TAO), Shanghai, China - (SHA), Shenyang, China - (SHE), Shijiazhuang, China - (SJW), Suzhou, China - (SZV), Tianjin, China - (TSN), Wuxi, China - (WUX), Xi'an, China - (XIY), Zhengzhou, China - (CGO), Zuzhou, China - (CSX))
已部署应用的功能服务不受影响
北京时间8月17日:
03:26,已修复上述问题
23:24,多个中国数据中心配置更新延迟一小时左右生效
涉及:通用CDN功能配置、页面规则、防火墙、DNS更新以及SSL证书签发等,配置修改无法实时应用生效
影响集群:Asia (Guangzhou, China - (CAN), Jinan, China - (TNA), Nanning, China - (NNG), Qingdao, China - (TAO), Shanghai, China - (SHA), Shenyang, China - (SHE), Shijiazhuang, China - (SJW), Suzhou, China - (SZV), Tianjin, China - (TSN), Wuxi, China - (WUX), Xi'an, China - (XIY), Zhengzhou, China - (CGO), Zuzhou, China - (CSX))
已部署应用的功能服务不受影响
北京时间8月17日:
03:26,已修复上述问题
Cloudflare AMP Real URL分批测试已逐步开启
08月16日23点,第一批测试用户已激活
CloudFlare AMP Real URL:使用签名交换来保证AMP页面在有AMP缓存存在时的页面信任问题。访客在移动端访问AMP页面将获得极速加载体验,同时在有AMP缓存情况下也可以正常显示网站完整URL(而不是AMP缓存服务URL)
使用:CF管理面板;性能 选项卡;打开AMP Real URL开关,不需要其它额外配置,在谷歌AMP缓存后(一般需要3-7天)开始工作。
*网页有适配AMP是正常工作的前提条件
验证:https://su.9sep.org/cdn-fpw/sxg/cert.pem.msg (换上自己域名自检)
提示404则签名交互未工作,提示下载证书文件则只需要等GoogleBot爬取录入
限制:小于500kb(仅HTML),iOS上不工作(因Safari暂不支持签名交换)
*AMP:由谷歌发起维护的前端框架,旨在提升移动端网页的访问性能
08月16日23点,第一批测试用户已激活
CloudFlare AMP Real URL:使用签名交换来保证AMP页面在有AMP缓存存在时的页面信任问题。访客在移动端访问AMP页面将获得极速加载体验,同时在有AMP缓存情况下也可以正常显示网站完整URL(而不是AMP缓存服务URL)
使用:CF管理面板;性能 选项卡;打开AMP Real URL开关,不需要其它额外配置,在谷歌AMP缓存后(一般需要3-7天)开始工作。
*网页有适配AMP是正常工作的前提条件
验证:https://su.9sep.org/cdn-fpw/sxg/cert.pem.msg (换上自己域名自检)
提示404则签名交互未工作,提示下载证书文件则只需要等GoogleBot爬取录入
限制:小于500kb(仅HTML),iOS上不工作(因Safari暂不支持签名交换)
*AMP:由谷歌发起维护的前端框架,旨在提升移动端网页的访问性能
Firefox最近上线Private Network拓展
由Firefox(Mozilla公司)与Cloudflare(Warp项目)合作运营,有需要的朋友可以去玩玩看体验一下
测试:亚太地区网络友好,访问速度表现优秀
用法及使用说明:
该Firefox浏览器拓展目前仅PC端Beta版,面向登录Firefox账号的美国用户开放使用(地区限制可以先US代理安排上再切回继续使用)
官网:
https://private-network.firefox.com
由Firefox(Mozilla公司)与Cloudflare(Warp项目)合作运营,有需要的朋友可以去玩玩看体验一下
测试:亚太地区网络友好,访问速度表现优秀
用法及使用说明:
该Firefox浏览器拓展目前仅PC端Beta版,面向登录Firefox账号的美国用户开放使用(地区限制可以先US代理安排上再切回继续使用)
官网:
https://private-network.firefox.com
北京时间9月13日22点许,Cloudflare在纽约证券交易所(NYSE)完成IPO上市
股票发行代码:NET
恭喜Cloudflare在世界大舞台上更进一步,相信Cloudflare可以为全球用户构建更好的互联网络以及云计算服务平台
欢迎关注CF官方推特
https://twitter.com/Cloudflare
股票发行代码:NET
恭喜Cloudflare在世界大舞台上更进一步,相信Cloudflare可以为全球用户构建更好的互联网络以及云计算服务平台
欢迎关注CF官方推特
https://twitter.com/Cloudflare