it-swarm.com.de

Gibt es irgendwelche Nachteile von Cloudflares "Flexible SSL"?

Mit Cloudflare können Sie Ihre Site über SSL bereitstellen , ohne ein Sicherheitszertifikat erwerben und installieren zu müssen, ein Produkt, das sie „Flexibles SSL“ nennen. (Sie fungieren als Proxy und dienen Ihrer Site über SSL von ihren Servern aus, während die Verbindung von Ihrem Server zu ihren Servern unverschlüsselt bleibt.)

Sie bieten derzeit Flexible SSL für kostenlos .

Mit der Ankündigung von Google, dass HTTPS ist jetzt ein Ranking-Signal , erwäge ich, mehrere Websites auf Cloudflare umzustellen, ein Pro-Konto zu kaufen und die Option „Flexibles SSL“ zu aktivieren, da dies der einfachste Weg zu sein scheint mehrere Sites über HTTPS bedienen, ohne mehrere Zertifikate erwerben und verwalten zu müssen.

Gibt es Nachteile von Cloudflares flexiblem SSL?

Ich bin mit Cloudflare als Proxy vertraut - ich interessiere mich mehr für zwei Faktoren:

  1. Die Erfahrung für Endbenutzer. (z. B. werden Besuchern Sicherheitswarnungen angezeigt?)
  2. Das angebotene Sicherheitsniveau. (Genug für ein einfaches Blog, aber nicht für einen Online-Shop, weil sie Kreditkartendaten von ihrem Server unverschlüsselt an Ihren Server weiterleiten würden?)
12
Nick

Flexibles SSL ist NICHT vollständig sicher

Das flexible SSL von CloudFlare bietet Verschlüsselung vom Benutzer zu den Servern von CloudFlare, aber nicht ​​von deren Servern zum Website-Server. Dies erspart Ihnen die mühsame Installation (und Erneuerung) eines Zertifikats auf Ihrem Webserver, bedeutet jedoch, dass der Datenverkehr in der zweiten Hälfte der Reise im Klartext gesendet wird.

Cloudflare Flexible SSL

Die Vorteile dieses Setups sind:

  • Einfacher Einstieg, keine Installation von Zertifikaten auf Ihrem Webserver und keine regelmäßige Erneuerung
  • Bietet Schutz vor dem Abhören unsicherer WLAN-Verbindungen (Internetcafés) und anderer Geräte in Ihrem lokalen Netzwerk oder auf ISP-Ebene.
  • Benutzer sehen ein grünes Vorhängeschloss in ihrem Browser und sollten keine Sicherheitswarnungen erhalten

Die inhärenten Probleme sind:

  • Der Datenverkehr von CloudFlare zu Ihrem Server ist nicht verschlüsselt. Dies bedeutet, dass ISPs, Trunk-Provider und der NSA weiterhin alle Anforderungen im Klartext lesen können
  • Bei dem Datenverkehr handelt es sich um MITM-Angriffe (Man-in-the-Middle), bei denen ein anderer Server die Identität Ihres Servers annehmen und den Datenverkehr empfangen kann (obwohl dieses Problem auch für die SSL-Einstellung "Vollständig" gilt, müssen Sie den Modus "Streng" verwenden, um dies zu vermeiden diese).
  • Aufgrund des oben Gesagten wird den Besuchern Ihrer Website ein irreführendes und falsches Sicherheitsgefühl vermittelt (dies ist jedoch ein Vorwurf, der für diesen Veranstaltungsort nicht geeignet ist).

Vergleich der SSL-Einstellungen

CloudFlare SSL settings

Das Nichtverschlüsseln des Datenverkehrs zwischen einem Proxy- und einem Back-End-Server ist üblich, wenn der Datenverkehr über ein privates, sicheres Netzwerk gesendet wird. In diesem Fall leiten Sie den Datenverkehr jedoch über das öffentliche Internet.

CloudFlare empfiehlt, dass Sie auch ein Zertifikat auf Ihrem Webserver für eine echte End-to-End-Verschlüsselung installieren und dafür sogar kostenlose Zertifikate über das Dashboard bereitstellen (wenn Sie kein selbstsigniertes Zertifikat installieren möchten). Aus der Diskussion im CloudFlare Blog :

Tatsächlich stellen wir ein kostenloses Zertifikat zur Verfügung, das an die Domäne gebunden ist, die Sie für End-to-End-Krypto auf Ihrem Server installieren können.

Unabhängig davon, ob "Full" oder "Flexible" SSL verwendet wird, sollten Ihre Benutzer kein Popup oder andere Warnungen sehen.

7
jeffatrackaid

Dieser Link erklärt, was die CloudFlare SSL-Optionen sind.

Flexibles SSL verschlüsselt zumindest zu diesem Zeitpunkt nicht vollständig auf Ihrem Server. Das im Blog von Matthew diskutierte Problem ("Tatsächlich stellen wir ein kostenloses Zertifikat zur Verfügung, das an die Domäne gebunden ist, die Sie auf Ihrem Server für End-to-End-Krypto ... kostenlos installieren können.") Ist nicht ". Noch nicht verfügbar.

Wir werden den Inhalt mit Sicherheit aktualisieren, um etwaige Änderungen zu berücksichtigen, wenn wir die kostenlose SSL-Option einführen.

3
damoncloudflare