Есть ли какие-либо недостатки у «Гибкого SSL» в Cloudflare?

12

Cloudflare позволяет вам обслуживать ваш сайт по SSL без необходимости покупать и устанавливать сертификат безопасности, продукт, который они называют «Гибкий SSL» . (Они выступают в качестве прокси-сервера и обслуживают ваш сайт по протоколу SSL со своих серверов, в то время как подключение вашего сервера к ним остается незашифрованным.)

В настоящее время они предлагают гибкий SSL бесплатно .

С объявлением Google о том, что HTTPS теперь является сигналом ранжирования , я рассматриваю возможность переключения нескольких сайтов на Cloudflare, покупки учетной записи Pro и включения их опции «Flexible SSL», потому что это кажется самым простым способом обслуживания нескольких сайтов по HTTPS без необходимость покупки и управления несколькими сертификатами.

Есть ли недостатки у Cloudflare Flexible SSL?

Мне удобно использовать Cloudflare в качестве прокси - меня больше интересуют два фактора:

  1. Опыт для конечных пользователей. (Например, увидят ли посетители предупреждения о безопасности?)
  2. Уровень безопасности предлагается. (Достаточно для простого блога, но не для интернет-магазина, потому что они будут передавать данные кредитных карт со своего сервера на ваш незашифрованный?)
Ник
источник
Если проблема касается безопасности, я бы, вероятно, использовал бесплатный сертификат SSL уровня 01 StartSSL. Для всего остального (например, для создания у Google впечатления о безопасности соединения, особенно в свете того факта, что использование SSL теперь является фактором ранжирования), гибкий SSL должен быть простым и дешевым вариантом.
Рана Пратхап
На мой взгляд, одним из недостатков является цена. Дешевый SSL-сертификат стоит 5 долларов в год.
Ка Рл
@KaRl это бесплатный сервис, поэтому цена не должна рассматриваться как недостаток.
Эндрю Лотт,

Ответы:

7

Гибкий SSL НЕ полностью безопасен

Гибкий SSL CloudFlare обеспечивает шифрование от пользователя к серверам CloudFlare, но не от их серверов к серверу веб-сайта. Это позволяет избежать хлопот, связанных с установкой (и обновлением) сертификата на вашем веб-сервере, но означает, что трафик отправляется в виде обычного текста в течение второй половины пути.

Cloudflare Flexible SSL

Преимущества этой настройки:

  • Легко начать, не нужно устанавливать сертификаты на свой веб-сервер и иметь дело с периодическими обновлениями
  • Обеспечивает защиту от прослушивания небезопасных подключений WiFi (интернет-кафе) и других в локальной сети или на уровне интернет-провайдера.
  • Пользователи увидят зеленый замок в своем браузере и не должны получать никаких предупреждений безопасности

Неотъемлемые проблемы:

  • Трафик с CloudFlare на ваш сервер не зашифрован, что означает, что оптовые интернет-провайдеры, транкинговые провайдеры и АНБ могут по-прежнему читать все запросы в виде обычного текста.
  • Трафик подвергается атакам «человек посередине» (MITM), когда другой сервер может выдать себя за ваш сервер и получить свой трафик (хотя эта проблема также относится к настройке «Полный» SSL, вам потребуется режим «Строгий», чтобы избежать это).
  • Из-за вышеизложенного, он обеспечивает вводящее в заблуждение и ложное чувство безопасности для посетителей вашего веб-сайта (но это напыщенная речь не подходит для этого места)

Сравнение настроек SSL

Настройки CloudFlare SSL

Отсутствие шифрования трафика между прокси-сервером и внутренним сервером часто встречается, когда трафик передается по частной защищенной сети. Но в этом случае вы маршрутизируете трафик через общедоступный интернет.

CloudFlare рекомендует также установить сертификат на свой веб-сервер для полноценного сквозного шифрования и даже предоставить для этого бесплатные сертификаты через свою панель мониторинга (если вы не хотите устанавливать самозаверяющий сертификат). Из обсуждения в блоге CloudFlare :

На самом деле, мы предоставим бесплатный сертификат, прикрепленный к домену, который вы можете установить на своем сервере для сквозного шифрования.

Независимо от того, используется ли «Полный» или «Гибкий» SSL, ваши пользователи не должны видеть всплывающих окон или других предупреждений.

jeffatrackaid
источник
Спасибо, Джефф. Я понимаю, что гибкий SSL делает исключит необходимость сертификата - вы не обязаны устанавливать один на своем сервере, так что я не уверен , что первая часть ответа является правильным. Похоже, что Cloudflare просто говорят, что для клиентов, которые хотят этого, они будут предлагать бесплатный сертификат в качестве дополнительного оборудования для полного сквозного шифрования вместо гибкой настройки SSL, где шифруется только половина пути. , Если вы сможете отредактировать свой ответ, чтобы отразить это, я с радостью отмечу его как принятый. Если я неверно истолковал, дайте мне знать!
Ник
1
Я обновил свой ответ. На самом деле есть 2 места, в которых можно использовать SSL. FlexibleSSL отменяет необходимость SSL-сертификата на исходном сервере. CloudFlare будет бесплатно предоставлять сертификат SSL на своих серверах кэширования. Таким образом, мы на самом деле оба правы (или оба не правы в зависимости от вашей точки зрения).
Jeffatrackaid
1
Джефф, я предложил изменить свой ответ, чтобы добавить его в некоторые диаграммы, и закончил тем, что реструктурировал весь ответ, чтобы сделать его более четким и понятным. Я надеюсь, что все в порядке, и я надеюсь, что я не изменил ваши намерения.
Саймон Ист
1
@SimonEast Превосходное редактирование, одно из лучших, которые я видел здесь. Конечно, было хорошо получить ответ напрямую от Дэймона на CloudFlare.
Дан
3

Эта ссылка объясняет, каковы опции SSL CloudFlare .

Гибкий SSL, по крайней мере в настоящее время, не полностью шифрует ваш сервер. Вопрос, обсуждаемый в блоге Мэтью («На самом деле мы предоставим бесплатный сертификат, прикрепленный к домену, который вы можете установить на своем сервере для сквозного шифрования .... бесплатно») isn ' пока не доступно.

Мы наверняка обновим контент, чтобы отразить любые изменения, когда мы развернем бесплатный вариант SSL.

damoncloudflare
источник
Спасибо за это, Дэймон. Я посетил эту страницу CloudFlare до публикации своего вопроса, но по какой-то причине он содержал только изображение в то время, а не текст ниже с предупреждением о гибком SSL. Это помогает прояснить ситуацию, хотя - спасибо.
Ник
-1

Есть один большой недостаток SEO. Google сказал, что предпочитает сайты SSL, но сертификат должен быть 2048-битным . «Гибкий SSL» CloudFlare не является 2048-битным.

Alex
источник
1
В настоящее время они выпускаются как EC 256, который является другим методом шифрования, чем RSA 2048. Он будет, по крайней мере, таким же безопасным и не повлияет на SEO.
Эндрю Лотт
Да, думаю, они изменили это ...
Алекс