Cloudflare ประกาศยกเลิกการรองรับการเชื่อมต่อแบบไม่เข้ารหัส (HTTP) สำหรับการเข้าถึง API ของบริษัท โดยตั้งแต่วันที่ 22 มีนาคม 2025 เป็นต้นไป ระบบจะยอมรับเฉพาะการเชื่อมต่อผ่าน HTTPS เท่านั้น สำหรับการใช้งานที่ส่งคำร้องขอไปยัง api.cloudflare.com

การเปลี่ยนแปลงครั้งนี้มีเป้าหมายเพื่อเพิ่มความปลอดภัยในการใช้งาน API โดยเฉพาะการป้องกันความเสี่ยงจากข้อมูลสำคัญ เช่น คีย์ API หรือโทเคน ที่อาจรั่วไหลในระหว่างการส่งคำขอแบบไม่เข้ารหัส ก่อนที่ระบบจะตอบกลับหรือเปลี่ยนเส้นทางไปยังการเชื่อมต่อแบบปลอดภัย

ก่อนหน้านี้ Cloudflare ยังอนุญาตให้ผู้ใช้เข้าถึง API ผ่าน HTTP ได้ โดยระบบจะตอบกลับด้วยรหัสปฏิเสธ หรือเปลี่ยนเส้นทางไปยัง HTTPS โดยอัตโนมัติ อย่างไรก็ตาม แม้จะปฏิเสธคำขอหรือเปลี่ยนเส้นทางในขั้นตอนถัดไป ข้อมูลบางส่วนอาจถูกส่งออกไปในรูปแบบข้อความธรรมดาก่อนจะได้รับการป้องกัน

ภายใต้มาตรการใหม่นี้ คำขอที่ส่งผ่าน HTTP จะถูกตัดการเชื่อมต่อในระดับเครือข่ายทันทีโดยไม่ตอบกลับ ซึ่งส่งผลกระทบโดยตรงต่อเครื่องมืออัตโนมัติ สคริปต์ หรือไคลเอนต์รุ่นเก่าที่ไม่ได้รองรับ HTTPS หรือมีการตั้งค่าที่ไม่เหมาะสม

สำหรับลูกค้า Cloudflare ที่ใช้งานเว็บไซต์ทั่วไป การเปลี่ยนแปลงนี้ยังไม่ส่งผลต่อการเข้าเว็บไซต์ผ่าน HTTP โดยตรง อย่างไรก็ตาม Cloudflare เปิดเผยว่ากำลังเตรียมเปิดตัวฟีเจอร์ฟรีภายในสิ้นปีนี้ ที่จะช่วยให้ผู้ดูแลเว็บไซต์สามารถปิดกั้นการเข้าใช้งานผ่าน HTTP ได้อย่างปลอดภัย หากต้องการให้เว็บไซต์รองรับเฉพาะ HTTPS เท่านั้น

จากข้อมูลของ Cloudflare พบว่าแม้แนวโน้มการใช้งาน HTTP จะลดลง แต่ยังคงมีการใช้งานประมาณ 2.4% ของทราฟฟิกทั้งหมดที่ผ่านระบบ และหากรวมคำขอจากระบบอัตโนมัติ ตัวเลขดังกล่าวจะเพิ่มขึ้นเกือบ 17% ซึ่งยังถือเป็นความเสี่ยงที่ควรได้รับการจัดการ

Cloudflare ย้ำว่าการเปลี่ยนแปลงครั้งนี้จะช่วยลดโอกาสที่ข้อมูลสำคัญจะรั่วไหลในระหว่างการส่งคำขอ และเป็นอีกหนึ่งก้าวในการยกระดับความปลอดภัยของระบบอินเทอร์เน็ตโดยรวม

ที่มา – bleepingcomputer.com