Cloudflare现在让用户一键替域名中的每个子域名颁发单独的TLS凭证,这个称为Total TLS的新功能,可以让用户的子域名获得额外的TLS凭证覆盖,确安全全连接不出错。
在默认的情况下,所有Cloudflare用户都会获得一个免费的TLS凭证,这是Cloudflare在2014年发布的Universal SSL功能,该凭证会涵盖该域名的Apex和Wildcard,官方解释,虽然Universal SSL对大多数的用户已经足够,但对于部分拥有更深子域名的用户可能不够。
为此,Cloudflare又构建了Advanced Certificate Manager,供用户对主机名颁发凭证,也就是当Universal SSL不足,用户便可以使用Advanced Certificate的UI或是API,来请求涵盖像是a.b.c.example.com这类更深的子域名,Cloudflare允许用户可以在Advanced Certificate上放置50个主机名。
但是这困扰之处在于,用户需要提供Cloudflare需要保护的主机名,通过使用Advanced Certificate的API,设置需要保护的主机名,但官方提到,这个过程容易出错,也并非是容易扩展的方法。
事实上,Cloudflare作为DNS供应商,便会知道用户有哪些子域名需要保护,因此Total TLS便是对Cloudflare网络代理其流量的每个子域名,都能够自动颁发TLS凭证。Total TLS提供一键操作按钮,激活之后会对用户域名中每个经代理的DNS记录,自动颁发TLS凭证,如此用户就能方便地添加任意数量的DNS记录和子域名,且不用担心漏掉没有被TLS凭证覆盖。
Total TLS为Advanced Certificate Manager底下的功能,将Cloudflare作为权威DNS供应商的域名用户,便可以通过Cloudflare仪表板或API激活该功能,并且选择Let’s Encrypt或Google Trust Services等凭证颁发机构。另外,Cloudflare还提供了TLS凭证覆盖可见性,对于用户创建、查看或编辑经代理的DNS记录,对欠缺的TLS凭证覆盖发出警告,避免出现没有安全连接的错误。