Czy są jakieś wady „elastycznego SSL” Cloudflare?

12

Cloudflare umożliwia obsługę witryny za pośrednictwem protokołu SSL bez konieczności kupowania i instalowania certyfikatu bezpieczeństwa, produktu nazywanego „elastycznym SSL” . (Działają jako proxy i obsługują twoją witrynę za pośrednictwem protokołu SSL z ich serwerów, podczas gdy połączenie z twojego serwera do ich pozostaje niezaszyfrowane).

Obecnie oferują elastyczne SSL za darmo .

Po ogłoszeniu przez Google, że HTTPS jest teraz sygnałem rankingowym , rozważam zmianę kilku witryn na Cloudflare, zakup konta Pro i włączenie opcji „Elastycznego SSL”, ponieważ wydaje się to najłatwiejszym sposobem obsługi kilku witryn przez HTTPS bez konieczność zakupu wielu certyfikatów i zarządzania nimi.

Czy istnieje jakakolwiek wada elastycznego SSL Cloudflare?

Nie mam nic przeciwko używaniu Cloudflare jako proxy - bardziej interesują mnie dwa czynniki:

  1. Doświadczenie dla użytkowników końcowych. (np. czy odwiedzający zobaczą ostrzeżenia bezpieczeństwa?)
  2. Poziom oferowanego bezpieczeństwa. (Wystarczy na prosty blog, ale nie na sklep internetowy, ponieważ przesyłałyby dane karty kredytowej ze swojego serwera do twojego niezaszyfrowanego?)
Nacięcie
źródło
Jeśli chodzi o bezpieczeństwo, prawdopodobnie użyłbym darmowego certyfikatu SSL poziomu 01 StartSSL. W każdym innym przypadku (na przykład sprawiając Google wrażenie, że połączenie jest bezpieczne, szczególnie w świetle faktu, że korzystanie z SSL jest teraz ważnym czynnikiem), elastyczne SSL powinno być łatwą i tanią opcją.
Rana Prathap,
Moim zdaniem jedną z wad jest cena. Tani certyfikat SSL kosztuje 5 USD rocznie.
Ka Rl,
@KaRl jest to usługa bezpłatna, więc cena nie powinna być uważana za wadę.
Andrew Lott,

Odpowiedzi:

7

Elastyczne SSL NIE jest w pełni bezpieczne

Elastyczne SSL CloudFlare zapewnia szyfrowanie od użytkownika na serwerach CloudFlare, ale nie od ich serwerów do serwera strony internetowej. Pozwala to uniknąć kłopotów z instalowaniem (i odnawianiem) certyfikatu na serwerze WWW, ale oznacza, że ​​ruch jest wysyłany zwykłym tekstem w drugiej połowie podróży.

Cloudflare Flexible SSL

Korzyści z tej konfiguracji to:

  • Łatwo zacząć, nie trzeba instalować certyfikatów na serwerze sieciowym i radzić sobie z okresowymi przedłużeniami
  • Zapewnia ochronę przed podsłuchiwaniem niepewnych połączeń WiFi (kawiarni internetowych) i innych w sieci lokalnej lub na poziomie ISP.
  • Użytkownicy zobaczą zieloną kłódkę w przeglądarce i nie powinni otrzymywać żadnych ostrzeżeń bezpieczeństwa

Problemami nieodłącznymi są:

  • Ruch z CloudFlare na Twój serwer nie jest szyfrowany, co oznacza, że ​​hurtowi dostawcy usług internetowych, dostawcy łączy i NSA mogą nadal czytać wszystkie żądania w postaci zwykłego tekstu
  • Ruch jest przedmiotem ataków typu man-in-the-middle (MITM), w których inny serwer może podszyć się pod Twój serwer i odbierać jego ruch (chociaż ten problem dotyczy również ustawienia „Pełny” SSL, będziesz potrzebować trybu „ścisły”, aby uniknąć to).
  • Ze względu na powyższe zapewnia wprowadzające w błąd i fałszywe poczucie bezpieczeństwa osobom odwiedzającym witrynę (ale to nie jest odpowiednie dla tego miejsca)

Porównanie ustawień SSL

Ustawienia SSL CloudFlare

Brak szyfrowania ruchu między serwerem proxy a serwerem zaplecza jest powszechny, gdy ruch jest wysyłany przez prywatną, zabezpieczoną sieć. Ale w tym przypadku kierujesz ruchem przez publiczny internet.

CloudFlare zaleca także zainstalowanie certyfikatu na serwerze sieciowym w celu zapewnienia prawdziwego szyfrowania typu end-to-end, a nawet zapewnienie do tego bezpłatnych certyfikatów za pośrednictwem pulpitu nawigacyjnego (jeśli nie chcesz instalować certyfikatu z podpisem własnym). Z dyskusji na blogu CloudFlare :

W rzeczywistości zapewnimy bezpłatny certyfikat przypięty do domeny, który możesz zainstalować na swoim serwerze w celu kompleksowego szyfrowania.

Bez względu na to, czy używany jest „pełny”, czy „elastyczny” protokół SSL, użytkownicy nie powinni widzieć wyskakujących okienek ani innych ostrzeżeń.

jeffatrackaid
źródło
Dzięki, Jeff. W moim rozumieniu jest to, że elastyczne SSL nie neguje potrzebę świadectwa - nie są zobowiązani do zainstalowania jednego na własnym serwerze, więc nie jestem pewien, że pierwsza część odpowiedź jest poprawna. Wygląda na to, że Cloudflare mówi tylko, że dla klientów, którzy tego chcą, będą oferować bezpłatny certyfikat jako opcjonalny dodatek, aby umożliwić pełne szyfrowanie całościowe zamiast konfiguracji elastycznego SSL, w której szyfrowana jest tylko połowa podróży . Jeśli możesz edytować swoją odpowiedź, aby odzwierciedlić to, chętnie oznaczę ją jako zaakceptowaną. Jeśli źle zinterpretowałem, daj mi znać!
Nick
1
Zaktualizowałem swoją odpowiedź. Istnieją 2 lokalizacje, w których można użyć protokołu SSL. FlexibleSSL neguje potrzebę certyfikatu SSL na serwerze źródłowym. CloudFlare dostarczy certyfikat SSL za darmo na swoich serwerach buforujących. Tak naprawdę mamy obie rację (lub obie mylimy się w zależności od twojej perspektywy).
jeffatrackaid
1
Jeff, zasugerowałem edycję twojej odpowiedzi, aby dodać kilka diagramów, i ostatecznie przebudowałem całą odpowiedź, aby była jaśniejsza i lepiej płynęła. Mam nadzieję, że to w porządku i mam nadzieję, że nie zmieniłem twojego zamiaru.
Simon East
1
@SimonEast Superlative edit, jeden z najlepszych, jakie widziałem tutaj. Oczywiście dobrze było również otrzymać odpowiedź bezpośrednio od Damona z CloudFlare.
dan
3

Ten link wyjaśnia, jakie są opcje CloudFlare SSL .

Elastyczny SSL, przynajmniej w tej chwili, nie szyfruje w pełni twojego serwera. Problem omawiany na blogu przez Matthew („W rzeczywistości zapewnimy bezpłatny certyfikat przypięty do domeny, który można zainstalować na serwerze w celu kompleksowego szyfrowania .... za darmo”) nie jest jeszcze dostępne.

Z pewnością zaktualizujemy zawartość, aby odzwierciedlić wszelkie zmiany, gdy wprowadzimy bezpłatną opcję SSL.

damoncloudflare
źródło
Dzięki za to, Damon. Odwiedziłem tę stronę CloudFlare przed opublikowaniem mojego pytania, ale z jakiegoś powodu zawierała ona tylko obraz w tym czasie - nie tekst poniżej z ostrzeżeniem o elastycznym SSL. Pomaga to jednak wyjaśnić - dzięki.
Nick
-1

Jest jedna duża wada SEO. Google powiedział , że faworyzuje strony SSL, ale certyfikat powinien mieć 2048 bitów „Elastyczny SSL” CloudFlare nie jest 2048 bitów.

Alex
źródło
1
Są one obecnie wydawane jako EC 256, co jest inną metodą szyfrowania niż RSA 2048. Będzie co najmniej tak samo bezpieczne i nie będzie miało żadnego wpływu na SEO.
Andrew Lott,
Tak, chyba zmienili to ...
Alex