Ci sono degli svantaggi nel "flessibile SSL" di Cloudflare?

12

Cloudflare ti consente di servire il tuo sito su SSL senza dover acquistare e installare un certificato di sicurezza, un prodotto che chiamano "SSL flessibile" . (Funzionano come proxy e servono il tuo sito su SSL dai loro server, mentre la connessione dal tuo server ai loro rimane non crittografata.)

Al momento offrono SSL flessibile gratuitamente .

Con l'annuncio di Google che HTTPS è ora un segnale di classifica , sto prendendo in considerazione il passaggio di diversi siti su Cloudflare, l'acquisto di un account Pro e l'attivazione della loro opzione "SSL flessibile", perché sembra il modo più semplice per servire diversi siti su HTTPS senza dover acquistare e gestire più certificati.

C'è qualche svantaggio dell'SSL flessibile di Cloudflare?

Sono a mio agio nell'usare Cloudflare come proxy - Sono più interessato a due fattori:

  1. L'esperienza per gli utenti finali. (ad es. i visitatori vedranno avvisi di sicurezza?)
  2. Il livello di sicurezza offerto. (Abbastanza per un blog semplice, ma non per un negozio online perché passerebbero i dati della carta di credito dal loro server al tuo non crittografato?)
seo  security  https  cloudflare 
tacca
fonte
Se la sicurezza è un problema, probabilmente utilizzerei un certificato SSL di livello 01 gratuito StartSSL. Per qualsiasi altra cosa (come dare a Google l'impressione che la connessione sia sicura, soprattutto alla luce del fatto che l'uso di SSL è ora un fattore di classificazione), SSL flessibile dovrebbe essere un'opzione facile ed economica.
Rana Prathap,
A mio avviso, uno svantaggi è il prezzo. Un certificato SSL economico ti costa 5 $ all'anno.
Ka Rl,
@KaRl questo è un servizio gratuito, quindi il prezzo non dovrebbe essere considerato uno svantaggio.
Andrew Lott,

Risposte:

7

SSL flessibile NON è completamente sicuro

Il protocollo SSL flessibile di CloudFlare fornisce la crittografia dall'utente ai server di CloudFlare, ma non dai loro server al server del sito Web. Questo evita il fastidio di installare (e rinnovare) un certificato sul tuo server web, ma significa che il traffico viene inviato in testo normale durante la seconda metà del viaggio.

Cloudflare SSL flessibile

I vantaggi di questa configurazione sono:

  • Facile da iniziare, non è necessario installare certificati sul server Web e gestire i rinnovi periodici
  • Fornisce protezione da intercettazioni su connessioni WiFi non sicure (internet café) e altri sulla rete locale o a livello di ISP.
  • Gli utenti vedranno un lucchetto verde nel loro browser e non dovrebbero ricevere alcun avviso di sicurezza

I problemi inerenti sono:

  • Il traffico da CloudFlare al tuo server non è crittografato, il che significa che ISP all'ingrosso, provider di trunk e NSA possono ancora leggere tutte le richieste in testo semplice
  • Il traffico è soggetto a attacchi man-in-the-middle (MITM) in cui un altro server può impersonare il tuo server e ricevere il suo traffico (sebbene questo problema si applichi anche all'impostazione SSL "Completa", avrai bisogno della modalità "Rigida" per evitare Questo).
  • A causa di quanto sopra, fornisce un falso e fuorviante senso di sicurezza ai visitatori del tuo sito web (ma questo è un rant non appropriato per questo luogo)

Confronto delle impostazioni SSL

Impostazioni CloudFlare SSL

Non crittografare il traffico tra un proxy e un server back-end è comune quando il traffico viene inviato su una rete privata protetta. Ma in questo caso, stai instradando il traffico su Internet pubblico.

CloudFlare consiglia inoltre di installare un certificato sul proprio server Web per una vera crittografia end-to-end e di fornire anche certificati gratuiti tramite la propria dashboard per farlo (se non si desidera installare un certificato autofirmato). Dalla discussione sul Blog CloudFlare :

In realtà, forniremo un certificato gratuito che è bloccato sul dominio che puoi installare sul tuo server per la crittografia end-to-end.

Sia che si utilizzi SSL "Completo" o "Flessibile", gli utenti non dovrebbero visualizzare un popup o altri avvisi.

jeffatrackaid
fonte
Grazie Jeff. La mia comprensione è che Flexible SSL fa negare la necessità di un certificato - non siete obbligati ad installare uno sul proprio server, quindi non sono sicuro che la prima parte della vostra risposta è corretta. Sembra che Cloudflare stia solo dicendo che, per i clienti che lo desiderano, offriranno un certificato gratuito come extra opzionale per abilitare la crittografia end-to-end completa invece della configurazione SSL flessibile in cui è crittografata solo metà del viaggio . Se riesci a modificare la tua risposta per riflettere che la segnerò felicemente come accettata. Se ho interpretato male, fammi sapere!
Nick,
1
Ho aggiornato la mia risposta. In realtà ci sono 2 posizioni che SSL può essere utilizzato. FlexibleSSL annulla la necessità di un certificato SSL sul server di origine. CloudFlare fornirà il certificato SSL gratuitamente sui loro server di cache. Quindi in realtà abbiamo entrambi ragione (o entrambi sbagliati a seconda della tua prospettiva).
jeffatrackaid,
1
Jeff, ho suggerito una modifica alla tua risposta da aggiungere in alcuni diagrammi e ho finito per ristrutturare l'intera risposta per renderla più chiara e scorrere meglio. Spero vada bene e spero di non aver cambiato le tue intenzioni.
Simon East,
1
@SimonEast Modifica superlativa, una delle migliori che abbia mai visto qui. Ovviamente è stato bello ricevere una risposta direttamente da Damon anche su CloudFlare.
dan
3

Questo link spiega quali sono le opzioni SSL di CloudFlare .

SSL flessibile, almeno in questo momento, non crittografa completamente sul tuo server. Il problema discusso sul blog da Matthew ("In realtà, forniremo un certificato gratuito che è bloccato sul dominio che puoi installare sul tuo server per la crittografia end-to-end .... gratuitamente") non è ' t disponibile ancora.

Certamente aggiorneremo il contenuto per riflettere eventuali modifiche quando lanciamo l'opzione SSL gratuita.

damoncloudflare
fonte
Grazie per questo, Damon. Ho visitato quella pagina di CloudFlare prima di pubblicare la mia domanda, ma per qualche motivo conteneva solo l'immagine in quel momento, non il testo qui sotto con l'avvertenza su Flexible SSL. Tuttavia aiuta a chiarire le cose - grazie.
Nick,
-1

C'è un grosso svantaggio SEO. Google ha affermato che favorisce i siti SSL ma che il certificato dovrebbe essere 2048 bit. Il "SSL flessibile" di CloudFlare non è 2048 bit.

alex
fonte
1
Questi sono attualmente emessi come EC 256, che è un metodo di crittografia diverso rispetto a RSA 2048. Sarà almeno altrettanto sicuro e non avrà alcun effetto sul SEO.
Andrew Lott,
Sì, immagino che abbiano cambiato questo ...
Alex,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.