A Cloudflare anunciou uma mudança significativa em suas políticas de segurança: todas as conexões HTTP para sua API foram bloqueadas, aceitando agora exclusivamente conexões seguras via HTTPS no endpoint api.cloudflare.com.
Cloudflare encerra suporte a tráfego não seguro em sua API
A decisão tem como objetivo eliminar qualquer possibilidade de exposição de dados sensíveis no tráfego de texto simples. Antes, mesmo quando um pedido HTTP era rejeitado ou redirecionado, havia o risco de informações confidenciais, como chaves de API e tokens de autenticação, serem interceptadas antes da conexão ser redirecionada para HTTPS.
“A partir de hoje, qualquer conexão não criptografada com api.cloudflare.com será completamente rejeitada”, destacou a empresa em comunicado oficial.
Os desenvolvedores que anteriormente recebiam uma resposta “403 Forbidden” ao tentar conexões HTTP agora perceberão que essas tentativas nem sequer serão estabelecidas, já que a interface HTTP foi totalmente desativada.
Impactos para desenvolvedores e usuários
A API da Cloudflare desempenha um papel fundamental para desenvolvedores e administradores de sistemas, permitindo automação e gerenciamento de serviços como DNS, firewall, mitigação de ataques DDoS, caching, configuração SSL e acesso a dados analíticos.
Notícias Relacionadas
Segurança digital
Vulnerabilidade no Yelp do Ubuntu expõe chaves SSH através de links maliciosos
Uma falha no sistema de ajuda do Ubuntu permite que links específicos revelem informações privadas, como sua chave SSH. Veja como isso acontece e como evitar.
Violação digital
Roubo de dados expõe clientes da Hertz após falha em plataforma Cleo
A Hertz confirmou o roubo de dados de clientes após ataques cibernéticos explorarem falhas em plataforma da Cleo. Informações pessoais e documentos sensíveis foram acessados.
Antes da mudança, a API suportava tanto HTTP quanto HTTPS, mas com o novo bloqueio, qualquer tentativa de conexão por HTTP será completamente impedida já na camada de transporte, evitando a troca de dados inseguros desde o início.
Essa alteração impacta diretamente scripts, bots, dispositivos IoT e sistemas legados que ainda utilizam HTTP por padrão. Ferramentas automatizadas que não foram configuradas corretamente para suportar HTTPS precisarão ser ajustadas para continuar operando normalmente.
Próximos passos e estatísticas
Para minimizar os impactos, a Cloudflare está planejando lançar ainda este ano uma opção gratuita para desabilitar tráfego HTTP nos sites de clientes de maneira segura.
Dados internos da empresa mostram que, atualmente, cerca de 2,4% de todo o tráfego processado por seus servidores ainda ocorre via HTTP. Considerando acessos automatizados, essa porcentagem sobe para 17%.
Os usuários podem acompanhar a divisão de tráfego HTTP e HTTPS acessando o painel da Cloudflare na seção “Análises e Registros > Tráfego fornecido por SSL” para avaliar o impacto da mudança em seus ambientes.
