Cloudflare SSL mode による HTTPS 化を確認する

Last updated at 2021-06-23Posted at 2021-06-23

はじめに

Cloudflare では、以下の SSL mode を活用することで、Cloudflareーオリジン間の通信について、HTTPS を使うように制御できます。

Origin Server - SSL modes · Cloudflare SSL docs

Cloudflareーオリジン間の通信が、実際に HTTPS で行われるかどうかを調査します。

オリジン Web サーバーに Apache を使います。

Cloudflare からの HTTP リクエストヘッダを可視化する - Qiita

デフォルトでは Cloudflare によって、HTTP リクエストヘッダ X-Forwarded-Proto と Cf-Visitor は同じ値に設定されます。

How does Cloudflare handle HTTP Request headers? – Cloudflare Help Center

今回は、オリジンサーバーで以下のように接続プロトコルごとに X-Forwarded-Proto を上書きするように設定を追加します。

/etc/httpd/conf/httpd.conf

RequestHeader set X-Forwarded-Proto "http"

/etc/httpd/conf.d/ssl.conf

<VirtualHost _default_:443>
RequestHeader set X-Forwarded-Proto "https"
</VirtualHost>

設定を反映するために、sudo systemctl restart httpd でサービスを再起動します。
その後に、以下のコマンドで確認できます。

curl -s http://khayama.ml | grep -e Cf-Visitor -e X-Forwarded-Proto
curl -s https://khayama.ml | grep -e Cf-Visitor -e X-Forwarded-Proto

X-Forwarded-Proto: http となります。
例えば、SSL mode を Flexible にした場合、クライアントーオリジン間を https で接続すると、Cloudflareーオリジン間の通信は http になります。

% curl -s https://khayama.ml | grep -e Cf-Visitor -e X-Forwarded-Proto
Cf-Visitor: {"scheme":"https"} <br />
X-Forwarded-Proto: http <br />

X-Forwarded-Proto: https となります。
例えば、SSL mode を Strict (SSL-Only Origin Pull) にした場合、クライアントーオリジン間を http で接続すると、Cloudflareーオリジン間の通信は https になります。

% curl -s http://khayama.ml | grep -e Cf-Visitor -e X-Forwarded-Proto 
Cf-Visitor: {"scheme":"http"} <br />
X-Forwarded-Proto: https <br />

以下のようになりました。

「Always Use HTTPS」の機能を使えば、クライアントーCloudflare間の通信に対して HTTP を HTTPS にリダイレクトできます。

How to make your site HTTPS-only

ただし、SSL mode = Off と「Always Use HTTPS」は併用できません。

「Always Use HTTPS」を組み合わせた場合の結果は、以下のようになります。