มีข้อเสียใด ๆ กับ“ SSL ที่ยืดหยุ่นได้” ของ Cloudflare

12

Cloudflareช่วยให้คุณสามารถให้บริการเว็บไซต์ของคุณผ่าน SSLโดยไม่ต้องซื้อและติดตั้งใบรับรองความปลอดภัยผลิตภัณฑ์ที่พวกเขาเรียกว่า“ความยืดหยุ่น SSL” (พวกเขาทำหน้าที่เป็นพร็อกซีและให้บริการไซต์ของคุณผ่าน SSL จากเซิร์ฟเวอร์ของพวกเขาในขณะที่การเชื่อมต่อจากเซิร์ฟเวอร์ของคุณไปยังพวกเขายังไม่ได้เข้ารหัส)

พวกเขาขณะนี้มี SSL ยืดหยุ่นสำหรับฟรี

ด้วยการประกาศของ Google ว่าHTTPS เป็นสัญญาณอันดับฉันกำลังพิจารณาเปลี่ยนไซต์หลายแห่งเป็น Cloudflare ซื้อบัญชี Pro และเปิดใช้ตัวเลือก“ ยืดหยุ่น SSL” เพราะดูเหมือนจะเป็นวิธีที่ง่ายที่สุดในการให้บริการหลายไซต์ผ่าน HTTPS โดยไม่ต้อง ต้องซื้อและจัดการใบรับรองหลายใบ

มีข้อเสียใด ๆ กับ SSL ที่ยืดหยุ่นของ Cloudflare?

ฉันรู้สึกสะดวกสบายที่ใช้ Cloudflare เป็นพร็อกซี่ - ฉันสนใจในสองปัจจัยมากขึ้น:

  1. ประสบการณ์สำหรับผู้ใช้ปลายทาง (เช่นผู้เข้าชมจะเห็นคำเตือนความปลอดภัยหรือไม่)
  2. ระดับความปลอดภัยที่เสนอ (เพียงพอสำหรับบล็อกง่ายๆ แต่ไม่ใช่ร้านค้าออนไลน์เพราะพวกเขาต้องการส่งข้อมูลบัตรเครดิตจากเซิร์ฟเวอร์ของพวกเขาให้กับคุณที่ไม่ได้เข้ารหัสหรือไม่)
seo  security  https  cloudflare 
กรงขัง
แหล่งที่มา
หากความปลอดภัยเป็นเรื่องที่น่ากังวลฉันอาจจะใช้ใบรับรอง SSL ระดับ 01 ของ StartSSL สำหรับสิ่งอื่น ๆ (เช่นให้ความประทับใจแก่ Google ว่าการเชื่อมต่อนั้นปลอดภัยโดยเฉพาะอย่างยิ่งจากข้อเท็จจริงที่ว่าการใช้ SSL เป็นปัจจัยอันดับ) SSL ที่ยืดหยุ่นควรเป็นตัวเลือกที่ง่ายและราคาถูก
Rana Prathap
ในความคิดของฉันข้อเสียอย่างหนึ่งคือราคา ใบรับรอง SSL ราคาถูกมีค่าใช้จ่าย 5 $ ต่อปี
Ka Rl
@ KaRl นี่เป็นบริการฟรีดังนั้นราคาจึงไม่ถือว่าเป็นข้อเสีย
Andrew Lott

คำตอบ:

7

SSL ที่ยืดหยุ่นไม่ปลอดภัยอย่างสมบูรณ์

SSL ที่ยืดหยุ่นของ CloudFlare จัดเตรียมการเข้ารหัสจากผู้ใช้ไปยังเซิร์ฟเวอร์ของ CloudFlare แต่ไม่ใช่จากเซิร์ฟเวอร์ของตนไปยังเซิร์ฟเวอร์เว็บไซต์ วิธีนี้จะช่วยลดความยุ่งยากในการติดตั้ง (และต่ออายุ) ใบรับรองบนเว็บเซิร์ฟเวอร์ของคุณ แต่หมายความว่าทราฟฟิกจะได้รับข้อความธรรมดาในช่วงครึ่งหลังของการเดินทาง

SSL แบบยืดหยุ่นของ Cloudflare

ประโยชน์ของการตั้งค่านี้คือ:

  • ง่ายต่อการเริ่มต้นไม่จำเป็นต้องติดตั้งใบรับรองบนเว็บเซิร์ฟเวอร์ของคุณและจัดการกับการต่ออายุเป็นระยะ
  • ให้ความคุ้มครองจากการดักฟังบนการเชื่อมต่อ WiFi ที่ไม่ปลอดภัย (อินเทอร์เน็ตคาเฟ่) และอื่น ๆ ในเครือข่ายท้องถิ่นของคุณหรือในระดับ ISP
  • ผู้ใช้จะเห็นกุญแจสีเขียวในเบราว์เซอร์และไม่ควรได้รับคำเตือนเกี่ยวกับความปลอดภัย

ปัญหาโดยธรรมชาติคือ:

  • ปริมาณข้อมูลจาก CloudFlare ไปยังเซิร์ฟเวอร์ของคุณไม่ได้เข้ารหัสหมายความว่า ISP ที่ให้บริการลำต้นผู้ให้บริการและ NSA ยังคงสามารถอ่านคำขอทั้งหมดในข้อความธรรมดา
  • ทราฟฟิกนั้นมีการโจมตีแบบ man-in-the-middle (MITM) ที่เซิร์ฟเวอร์อื่นสามารถเลียนแบบเซิร์ฟเวอร์ของคุณและรับการรับส่งข้อมูล (แม้ว่าปัญหานี้จะใช้กับการตั้งค่า SSL "เต็ม" คุณจะต้องใช้โหมด "เข้มงวด" เพื่อหลีกเลี่ยง นี้).
  • ด้วยเหตุผลข้างต้นทำให้ผู้เข้าชมเว็บไซต์ของคุณรู้สึกผิดและเป็นเท็จ (แต่นั่นเป็นการคุยโวที่ไม่เหมาะสมสำหรับสถานที่นี้)

เปรียบเทียบการตั้งค่า SSL

การตั้งค่า CloudFlare SSL

ไม่เข้ารหัสการรับส่งข้อมูลระหว่างพร็อกซีและเซิร์ฟเวอร์ด้านหลังเป็นเรื่องปกติเมื่อการรับส่งข้อมูลผ่านเครือข่ายส่วนตัวที่ปลอดภัย แต่ในกรณีนี้คุณกำหนดเส้นทางการรับส่งข้อมูลผ่านอินเทอร์เน็ตสาธารณะ

CloudFlare แนะนำให้คุณติดตั้งใบรับรองบนเว็บเซิร์ฟเวอร์ของคุณสำหรับการเข้ารหัสแบบ end-to-end จริงและยังให้ใบรับรองฟรีผ่านทางแดชบอร์ดสำหรับการทำเช่นนั้น (ถ้าคุณไม่ต้องการติดตั้งใบรับรองที่ลงนามเอง) จากการอภิปรายในบล็อก CloudFlare :

ที่จริงแล้วเราจะให้ใบรับรองฟรีที่ถูกตรึงไว้กับโดเมนที่คุณสามารถติดตั้งบนเซิร์ฟเวอร์ของคุณสำหรับการเข้ารหัสลับแบบ end-to-end

ไม่ว่าจะใช้ SSL แบบ "เต็ม" หรือ "ยืดหยุ่น" ผู้ใช้ของคุณไม่ควรเห็นป๊อปอัปหรือคำเตือนอื่น ๆ

jeffatrackaid
แหล่งที่มา
ขอบคุณเจฟ ความเข้าใจของฉันคือ SSL ที่มีความยืดหยุ่นจะไม่ตอบสนองความต้องการใบรับรอง - คุณไม่จำเป็นต้องติดตั้งใบรับรองบนเซิร์ฟเวอร์ของคุณเองดังนั้นฉันไม่แน่ใจว่าส่วนแรกของคำตอบของคุณนั้นถูกต้อง ดูเหมือนว่า Cloudflare กำลังบอกว่าสำหรับลูกค้าที่ต้องการพวกเขาจะเสนอใบรับรองฟรีเป็นตัวเลือกเพิ่มเติมเพื่อเปิดใช้งานการเข้ารหัสแบบครบวงจรแทนการตั้งค่า SSL แบบยืดหยุ่นซึ่งมีเพียงครึ่งหนึ่งของการเดินทางที่เข้ารหัส . หากคุณสามารถแก้ไขคำตอบของคุณเพื่อสะท้อนว่าฉันจะทำเครื่องหมายว่าเป็นที่ยอมรับอย่างมีความสุข หากฉันตีความผิดให้ฉันรู้ด้วย!
Nick
1
ฉันอัพเดตคำตอบแล้ว จริงๆแล้วมี 2 ที่ซึ่งสามารถใช้ SSL ได้ FlexibleSSL คัดค้านความต้องการใบรับรอง SSL บนเซิร์ฟเวอร์ต้นทาง CloudFlare จะให้ใบรับรอง SSL ฟรีบนเซิร์ฟเวอร์แคช ดังนั้นเราทั้งคู่จึงถูก (หรือผิดทั้งสองขึ้นอยู่กับมุมมองของคุณ)
jeffatrackaid
1
Jeff ฉันขอแนะนำให้แก้ไขคำตอบของคุณเพื่อเพิ่มในไดอะแกรมบางส่วนและจบลงด้วยการปรับโครงสร้างคำตอบทั้งหมดเพื่อให้ชัดเจนและไหลได้ดีขึ้น ฉันหวังว่าไม่เป็นไรและฉันหวังว่าฉันจะไม่เปลี่ยนความตั้งใจของคุณ
Simon East
1
@SimonEast Superlative edit หนึ่งในดีที่สุดที่ฉันเคยเห็นที่นี่ แน่นอนว่าเป็นเรื่องดีที่จะได้รับคำตอบโดยตรงจาก Damon ที่ CloudFlare เช่นกัน
แดน
3

ลิงค์นี้จะอธิบายว่าตัวเลือก CloudFlare SSLคืออะไร

SSL ที่มีความยืดหยุ่นอย่างน้อยในขณะนี้ไม่ได้เข้ารหัสอย่างสมบูรณ์ไปยังเซิร์ฟเวอร์ของคุณ ปัญหาที่ถูกกล่าวถึงในบล็อกโดย Matthew ("ที่จริงแล้วเราจะให้ใบรับรองฟรีที่ถูกตรึงไว้กับโดเมนที่คุณสามารถติดตั้งบนเซิร์ฟเวอร์ของคุณสำหรับการเข้ารหัสลับแบบ end-to-end .... ฟรี") isn ' ยังไม่พร้อมใช้งาน

แน่นอนที่สุดเราจะอัปเดตเนื้อหาเพื่อแสดงการเปลี่ยนแปลงใด ๆ เมื่อเราเปิดตัวตัวเลือก SSL ฟรี

damoncloudflare
แหล่งที่มา
ขอบคุณสำหรับสิ่งนี้เดมอน ฉันไปที่หน้า CloudFlare ก่อนที่จะโพสต์คำถามของฉัน แต่ด้วยเหตุผลบางอย่างมันมีเพียงภาพในเวลา - ไม่ใช่ข้อความด้านล่างพร้อมคำเตือนเกี่ยวกับ SSL ที่ยืดหยุ่น มันช่วยอธิบายสิ่งต่าง ๆ ได้ - ขอบคุณ
นิค
-1

มีข้อเสียใหญ่ SEO หนึ่ง Google กล่าวว่าเหมาะกับไซต์ SSL แต่ใบรับรองควรเป็น 2048 บิต "SSL ที่ยืดหยุ่น" ของ CloudFlare ไม่ใช่ 2048 บิต

อเล็กซ์
แหล่งที่มา
1
สิ่งเหล่านี้กำลังถูกนำออกใช้เป็น EC 256 ซึ่งเป็นวิธีการเข้ารหัสที่แตกต่างจาก RSA 2048 อย่างน้อยจะปลอดภัยและจะไม่มีผลกระทบใด ๆ กับ SEO
Andrew Lott
ใช่เดาว่าพวกเขาเปลี่ยนสิ่งนี้ ...
อเล็กซ์
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.