İçindekiler
- Genel Bakış
- Cloudflare Sayfa Kuralı
- Cloudflare Şifreleme Modu
- Her zaman HTTPS kullanın ancak HSTS kullanmayın
- Cloudflare Proxy’yi etkinleştirin
- Özet
Buradaki ilk mesajım elbette onu Cloudflare ile çalışacak şekilde ayarlamakla ilgili olacak. Resmi Hashnode önerisi (Vercel’i okuyun) turuncu bulutu devre dışı bırakmaktır ki bu asla yapmak istemediğim bir şeydir. Güvenlik ve özel uç çalışanlar için Cloudflare’e büyük ölçüde güveniyorum, bu nedenle mümkün olan her yerde onu devre dışı bırakmaktan kaçınmak istiyorum.
Genel Bakış
Ayrıntılara girmeden önce, mantığını yüksek düzeyde gözden geçirmekte fayda var, böylece aşağıdaki şeyleri neden yapmamız gerektiği açıktır. Hashnode, Vercel’de barındırılır ve bu nedenle, certbot olarak bilinen üçüncü taraf araç/şartname aracılığıyla etki alanları ve sertifikaların sağlanmasında aynı yönteme sahiptir . Sertifikaların temel hazırlığını yalnızca DNS kullanarak yapmak mümkün olsa da çoğu sağlayıcı bu şekilde entegre olmaz.
Certbot HTTP modunun sertifika sağlama yöntemi, alan adına belirli bir yol üzerinden düz metinli bir HTTP isteği göndermek ve sahipliği doğrulamak için imzalı bir yanıt beklemektir. Bu, işleri yapmanın basit ve güvenli bir yoludur, ancak güvenlik için HTTP isteklerini devre dışı bıraktığımız için Cloudflare işin içine girdiğinde işler karmaşık hale gelir.
Cloudflare Sayfa Kuralı
Sertifikaların sağlanmasına yönelik taleplerde bulunurken her zaman belirli bir temel yol kullanılır, dolayısıyla bunu belirli varsayılan kuralları atlamak için kullanabiliriz. Vercel’in sorun giderme bölümü bu yolları tanımlar, böylece bunları Cloudflare sayfa kurallarında kullanabiliriz. İle başlayan tüm yollar için SSL’yi tamamen atlamak istiyoruz /.well-known/acme-challenge/*.
Cloudflare Şifreleme Modu
Varsayılan olarak tüm trafiğe HTTPS üzerinden hizmet vermek istiyoruz, ancak aynı zamanda Cloudflare ile Vercel arasındaki bağlantının güvenli olmasını da sağlamak istiyoruz. Bunu “Tam” veya “Tam (katı)” modunu seçerek yapıyoruz. Diğer yayınların işaret ettiği şey bu olsa bile, esnek seçeneğin kullanılmasını hiçbir zaman önermiyorum. Her ne kadar düşük bir ihtimal olsa da, kaynak ile Cloudflare arasındaki trafiğin ağ katmanında ele geçirilip değiştirilmesi mümkündür, bu da güvenlik riski oluşturur.
Her zaman HTTPS kullanın ancak HSTS kullanmayın
Genellikle her zaman HSTS’yi öneririm, ancak bu özel durumda, botun spesifikasyonlara uyması durumunda certbot’un başarısız olmasına neden olabilir. Certbot istekleri düz metin http üzerinden gönderdiğinden (teorik olarak henüz SSL yapılandırılmamış olabileceğinden), bu HSTS’yi ihlal eder ve başarısız olur. “Her zaman HTTPS kullan”, tarayıcıların bir dahaki sefere önbelleğe alması ve zorlaması için HSTS başlıklarını döndürmeden, ziyaretçilere bağlantılarının her zaman güvenli bağlantılara yükseltilmesini sağlamak için yeterli koruma sağlar.
Cloudflare Proxy’yi etkinleştirin
Artık sayfa kuralları geçerli olduğuna göre devam edip Cloudflare proxy’sini (turuncu bulut) etkinleştirebiliriz.
Blogunuz için Hashnode etki alanı ayarlarınıza giderek her şeyin çalıştığını doğrulayabilirsiniz.
Özet
Bunu okuyorsanız, bu, yukarıdaki her şeyin blogumda uygulamanın kanıtı olarak çalıştığı anlamına gelir. Yukarıdaki yapılandırmalar ve keyifli bloglamalar hakkında herhangi bir sorunuz veya yorumunuz varsa lütfen bize ulaşın!
Bir yanıt yazın