Cloudflare conosce il contenuto decrittografato quando si utilizza una connessione https?

11

CloudFlare fornisce supporto per ssl. Tuttavia, se un visitatore visita un sito Web protetto da CloudFlare, CloudFlare è in grado di conoscere i semplici dati trasferiti durante questa visita?

Esistono alcune opzioni SSL:

  • SSL flessibile
  • SSL completo
  • SSL completo (rigoroso)

So che per SSL flessibile, CloudFlare probabilmente conosce i dati semplici, poiché i dati sono stati decifrati da CloudFlare e inviati al server Web in modo non sicuro.

Che dire di Full SSL e Full SSL (rigoroso)? CloudFlare decodifica prima, quindi crittografa di nuovo per inviarlo al server Web?

https  cloudflare 
xuhdev
fonte
Stai dando loro un certificato per il tuo dominio? Se devi fornire loro un certificato, supponi che possano vedere e modificare tutto ciò che viene comunicato. Senza un certificato non possono vedere o modificare ciò che viene inviato, ma non possono memorizzare nulla nella cache. Senza memorizzazione nella cache si ottengono solo alcune parti dei vantaggi offerti da una CDN.
Kasperd,
No, non ho dato loro il certificato. Se CloudFlare non può memorizzare nella cache nulla, si comporta come un proxy, è corretto? Quello che non capisco è che, nel Full SSLcaso, perché il client Web si fida ancora del certificato SSL anche quando il certificato del server è autofirmato (nel mio caso il sito mostra di essere firmato da COMODO), se CloudFlare si comporta come un proxy .
xuhdev,
Non ha senso. Autofirmato non è lo stesso firmato da Comodo.
Kasperd,
@ AD7six Se si tratta di due connessioni SSL diverse, è necessario disporre anche di un certificato. Per poter emettere quel certificato SSL, il proprietario del dominio deve prima approvarlo. E xuhdev ha detto che non è successo.
Kasperd,
2
@ AD7six Quando CA e CDN sono due entità separate, è un po 'più ovvio che si sta richiedendo un certificato da un'entità e trasferendolo all'altro. Quando i due sono un'unica entità, può diventare meno ovvio per il proprietario del dominio a cosa stanno dando il consenso. Direi che l'onere è su Cloudflare di dire al proprietario del dominio a cosa stanno dando il consenso. Sembra che ciò non sia stato chiarito abbastanza per essere realizzato da xuhdev, poiché apparentemente non era a conoscenza del fatto che Cloudflare avesse un certificato. Non so se questo significhi che Cloudflare non ha spiegato abbastanza chiaramente o se xuhdev non ha prestato attenzione
Kasperd,

Risposte:

13

Fare riferimento alla documentazione

I documenti di Cloudflare sono abbastanza chiari su questo. Ovviamente (dovrebbe essere ovvio) Flessibile ssl significa che la connessione da Cloudflare all'origine non è crittografata.

Immagine ssl di Cloudflare

Per full ssl (entrambe le permutazioni) vale quanto segue:

Crittografa la connessione tra i visitatori del tuo sito e CloudFlare e da CloudFlare al tuo server.

Sono due connessioni diverse , quindi la risposta a "Cloudflare conosce il contenuto decifrato?" è sì".

Si noti che per i certificati SSL EV o OV, è necessario caricarli su cloudflare affinché gli utenti finali possano vederli , sono comunque 2 connessioni, non la crittografia end-to-end.

Motivi per utilizzare SSL

L'uso di ssl previene gli attacchi MITM , non significa che il cdn che stai usando sia ignaro del contenuto che sta servendo, per te. Forse dovresti chiederti perché vuoi crittografare la connessione.

Senza SSL, ci sono molti punti in cui può verificarsi un attacco MITM:

No ssl, molti possibili punti di attacco

Con SSL flessibile - che elimina la maggior parte, ma non tutti:

Ssl flessibile, solo un punto di attacco ora

Con Full SSL - c'è ancora la possibilità di un attacco MITM:

Full ssl, un punto di attacco ma ora più difficile

Con Full SSL (Strict) - un attacco MITM non è ora possibile senza che Cloudflare stesso sia compromesso:

SSL completo - nessun attacco possibile

Se temi che cloudflare possa leggere i tuoi dati , non utilizzare cloudflare .

AD7six
fonte
5
È importante notare che anche con SSL rigoroso, non si saprà mai se CloudFlare è compromesso a meno che qualcuno lo perde illegalmente. Se sono compromessi, possono leggere tutto .
Oli,
3
Adoro il loro uso di "NSA" e la famigerata faccina di NSA.
Traubenfuchs,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.