Cloudflare

Cloudflare основана в 2009 году Мэттью Принцем, Мишель Затлин и Ли Холлоуэй, ранее работавшими над Project Honey Pot^[1][4]. В сентябре 2010 компания начала свою работу на конференции TechCrunch Disrupt^[5]. Cloudflare стала известной после начала защиты сайта LulzSec в июне 2011 года^[6]. В июне 2012 Cloudflare начали сотрудничать с некоторыми хостерами, включая HostPapa^[7], чтобы реализовать технологию «Railgun»^[8]. 11 февраля 2014 Cloudflare выдержала самую крупную DDoS атаку мощностью 400 Гбит/с^{[9][10][11][12][13]}. В 2014 Cloudflare зафиксировала атаки мощностью в 500 Гбит/с на независимые медиа^[14].

В сентябре 2009 года Гарвардская школа бизнеса представила к запуску несколько стартапов, в числе которых была и Cloudflare^[15]. В ноябре 2009 Cloudflare привлекла 2.1 млн долларов на первом раунде торгов от Pelion Venture Partners и Venrock^[16][17].

В июле 2011 Cloudflare привлекла 20 млн долларов на втором раунде торгов от New Enterprise Associates, Pelion Venture Partners и Venrock^[18][19].

В декабре 2012 Cloudflare привлекла 50 млн долларов на третьем раунде торгов от New Enterprise Associates, Pelion Venture Partners, Venrock, Union Square Ventures и Гринпис^[20][21].

В декабре 2014 Cloudflare завершила последний раунд со 110 млн долларов, в лидерах оказалась компания Fidelity Investments, также участвовали Google Capital, Microsoft, Qualcomm и Baidu^[22][23].

В 24 февраля 2014 компания купила StopTheHacker^{[24][25][26][27]}, предоставляющую услуги обнаружения вирусов, автоматического их удаления и мониторинга; в июне 2014 была куплена компания CryptoSeal,^[28][29] занимающаяся VPN; в декабре 2016 была куплена компания Eager^[30][31] с целью обновления платформы приложений Cloudflare, например, появления возможности устанавливать сторонние приложения при помощи drag-and-drop на разрешённые сайты. В ноябре 2017 Cloudflare купила Neumob^[32] для повышения производительности своих мобильных приложений: сейчас разработчики из Neumob занимаются Mobile SDK^[33].

Каждому пользователю Cloudflare предоставляется услуга «I’m Under Attack Mode» (с англ. — «Режим «Меня атаковали»», защита от DDoS^[34]). Компания утверждает, что может выдержать сложную атаку седьмого уровня OSI^[34] при помощи обязательного прохождения JavaScript теста^[35].

Cloudflare защитила The Spamhaus Project от DDoS атаки, превышающей 300 Гбит/с^{[36][37][38][39]}. Архитектор Akamai сказал, что это была «самая мощная атака за всю историю Интернета»^[40]. Также компания отражала атаки в 400^[9] и 500^[14] Гбит/с, основанные на NTP-запросах.

В октябре 2024 года Cloudflare сообщила об успешном отражении рекордной по объёму DDoS-атаки со скоростью 3,8 Тбит/с^[41].

Cloudflare позволяет пользователям платных пакетов использовать сервис межсетевого экрана уровня веб-приложений по умолчанию^[42]. Файервол имеет набор правил ядра OWASP ModSecurity рядом с набором правил Cloudflare и набором популярных веб-приложений^[43].

Cloudflare предоставляет бесплатный DNS поверх HTTPS для всех клиентов, основанный на методе anycast^[44]. В списке SolveDNS Cloudflare находится в пятёрке самых быстрых DNS со скоростью 5,75 мс в августе 2019 года^[45].

1 апреля 2018 Cloudflare для обычных пользователей анонсировала «приватный» DNS на адресах 1.1.1.1 и 1.0.0.1 для сетей с IPv4 и 2606:4700:4700::1111 и 2606:4700:4700::1001 для сетей с IPv6^[46][47][48].

Ключевая услуга Cloudflare — обратный прокси для трафика. Cloudflare поддерживает протоколы HTTP/1, 1.1, HTTP/2, SPDY. Ко всему прочему предоставляется поддержка HTTP/2 Server Push^[49] и проксирование WebSocket^[50].

Сеть Cloudflare имеет огромное количество соединений в точках обмена трафиком в мире^[51]. Cloudflare кеширует контент на ближайших расположениях, чтобы действовать как CDN; все запросы проходят через обратный прокси Cloudflare и кешируются.

В 2014 году Cloudflare представила^[52][53][54] Project Galileo^[55] в качестве ответа на кибератаки против важных, но уязвимых целей, таких как группы артистов, гуманитарные организации, страницы политических диссидентов.

Cloudflare устно объявил о своих ценностях, когда Мэттью Принц утвердил:

Cloudflare публикует отчёт о прозрачности^[57] (англ. transparency report) каждые полгода, чтобы показать, как часто правоохранительные органы просят их сообщать данные клиентов компании^[58].

17 августа 2017 года Cloudflare отозвал доступ к своим сервисам интернет-порталу американских неонацистов The Daily Stormer после атаки на марше «Объединённых правых»^[59]. Впоследствии хакеры атаковали сайт, оставшийся без защиты^[60]. Мэттью Принц сказал в своём электронном письме к сотрудникам, что «проснулся в плохом настроении и решил удалить их из Интернета»^[61]; решающим фактором к решению проблемы стало то, «что команда, стоявшая за Daily Stormer, заявила, что мы [Cloudflare] поддерживаем их идеологию». Эндрю Англин, редактор The Daily Stormer, запретил своей команде делать подобные заявления^[62]. и отключение The Daily Stormer от Cloudflare было раскритиковано как «опасное» для Принца^[63][64], Англина и Фонда электронных рубежей^[65].

Cloudflare предоставляет свой DNS сервис для 6 млн сайтов^[66], включая Uber, Fitbit и Avito. В 2017 году о компаниях утекло огромное количество данных из-за ошибки Cloudbleed^[67][68].

В июне 2025 года Cloudflare объявил, что будет по умолчанию блокировать веб-ботов, которые собирают данные для искусственного интеллекта, чтобы они не могли «получать доступ к контенту без разрешения или вознаграждения». Владельцы новых доменов могут запретить просмотр своего контента ИИ-краулерам, а некоторые издатели смогут назначить плату за доступ таких систем к своим данным^[69].

• Награждена премией «Best Enterprise Startup» (с англ. — «Лучший промышленный стартап») TechCrunch на Восьмой ежегодной кранч-премии в феврале 2015 года^[70].
• Названа «Most Innovative Network & Internet Technology Company» (с англ. — «Самая инновационная компания технологий сетей и Интернета») в течение двух лет подряд The Wall Street Journal^[71].
• В 2012 году Cloudflare была признана пионером технологий на Всемирном экономическом форуме^[72].
• Находится в первой десятке инновационных компаний 2012 года по версии Fast Company^[73].
• В 2017 году Cloudflare находилась на 11 месте в списке Forbes Cloud 100^[74].

Cloudflare находился на седьмом месте среди 50 худших хостов по версии HostExploit в марте 2014 года^[75].

При использовании сервиса CloudFlare трафик между посетителями и сайтом проходит через серверы CloudFlare. Они работают в режиме MITM, заменяя SSL-сертификат сайта своим собственным. Это создает у посетителей ложное впечатление, что канал связи с сайтом, использующим протокол HTTPS, надежно защищён от стороннего наблюдателя^[76].

В октябре 2015 было обнаружено, что Cloudflare предоставил 40 % своих SSL-сертификатов фишинговым сайтам с похожими на банки и платёжные системы названиями^[77].

Cloudflare описана в списке The Spamhaus Project как пособник спам-сервисов (Pink contract). Впервые она появилась там в 2012 году. Spamhaus обновляет текущий список на основе происшествий за день^[78][79].

В июне 2012 хакерская группа UGNazi атаковали Cloudflare частично через ошибки в системе аутентификации Google, получив администраторский доступ к Cloudflare и используя его, взломали 4chan^[80][81][82]. Cloudflare опубликовали полное расследование взлома^[83]. После этого Google публично заявила, что исправила этот недостаток в процессе восстановления учётной записи Google Enterprise App, позволивший хакерам взломать компанию. Лидер хакерской группы Cosmo был задержан и осуждён в Калифорнии^[84].

Cloudflare был использован хакером Rescator, который продавал данные карт^[85].

С сентября 2016 по февраль 2017 крупный баг Cloudbleed в системе позволял «сливать» приватные данные, включая пароли и аутентификационные токены с сайтов клиентов во время попытки запроса данных больше, чем может быть в ответе на запрос^[86][87][88]. Утечка произошла из-за переполнения буфера, который бывает примерно 1 раз в 3,3 млн HTTP-запросов.

В мае 2017 ProPublica заявила, что Cloudflare в контексте своей политики передаёт имена и адреса электронной почты лиц, жалующихся на сайты ненависти, что приводило к домогательствам. Главный адвокат Cloudflare защитил политику компании, заявив, что «получение информации об обвинителях — основное конституционное право каждого»^[89]. В ответ Cloudflare обновила процесс, запретив анонимные жалобы^[90].

Двое из трёх топовых онлайн чатов ИГ находились под защитой Cloudflare, пока правоохранительные органы Соединённых Штатов в 2015 не заставили Cloudflare отказать им в услугах^[91].

В ноябре 2015 сеть активистов Анонимус была озадачена использованием сервисов компании ИГ во время терактов в Париже и снова обвинила Cloudflare в поддержке террористов^[92]. Cloudflare заявили, что Анонимус — «пятнадцатилетние дети в масках Гая Фокса», заявив при этом, что соблюдают закон^[93].

В сентябре 2017 сторонники свободы слова раскритиковали Cloudflare из-за отказа американскому неонацистскому сайту The Daily Stormer, что доставило сложностей последнему оставаться онлайн. «Отказ в обеспечении безопасности одному нацистскому сайту кажется нормальным сейчас, но что если Cloudflare начнёт отказывать сайтам политиков, потому что они им не нравятся?» — написал доктор наук Йельской школы права Кейт Клоник в The New York Times. — «Это просто, так как у Cloudflare мало конкурентов»^[94][95].

2 июля 2019 года произошёл сбой в работе сервиса, в результате чего многие сайты и сервисы оказались недоступны. Среди наиболее известных это Discord, Reddit, Twitch^[76].

6 июня 2016 года в Москве был открыт первый в России, 83-й в мире сервер Cloudflare^[96].

20 февраля 2025 года Роскомнадзор внёс Cloudflare в реестр организаторов распространения информации (ОРИ). Это означает, что сервис обязан хранить и расшифровывать сообщения пользователей и предоставлять их по запросу^[97].