Cloudflare có biết nội dung được giải mã khi sử dụng kết nối https không?


11

CloudFlare cung cấp hỗ trợ ssl. Tuy nhiên, nếu khách truy cập truy cập trang web được bảo vệ bởi CloudFlare, CloudFlare có thể biết dữ liệu đơn giản được truyền trong lần truy cập này không?

Có một vài tùy chọn SSL:

  • SSL linh hoạt
  • SSL đầy đủ
  • SSL đầy đủ (nghiêm ngặt)

Tôi biết rằng đối với SSL linh hoạt, CloudFlare có thể biết dữ liệu đơn giản, vì dữ liệu đã được CloudFlare giải mã và gửi đến máy chủ web không an toàn.

Còn SSL đầy đủ và SSL đầy đủ (nghiêm ngặt) thì sao? CloudFlare có giải mã trước sau đó mã hóa lại để gửi đến máy chủ web không?


Bạn đang cung cấp cho họ một chứng chỉ cho tên miền của bạn? Nếu bạn cần cung cấp cho họ một chứng chỉ, giả sử họ có thể nhìn thấy và sửa đổi mọi thứ đang được truyền đạt. Không có chứng chỉ, họ không thể nhìn thấy hoặc sửa đổi những gì đang được gửi, nhưng họ cũng không thể lưu trữ bất cứ thứ gì. Không có bộ nhớ đệm, bạn chỉ nhận được một số phần lợi ích do CDN cung cấp.
kasperd

Không, tôi đã không cung cấp cho họ giấy chứng nhận. Nếu CloudFlare không thể lưu trữ bất cứ thứ gì, nó hoạt động như một proxy, điều đó có đúng không? Điều tôi không hiểu là trong Full SSLtrường hợp, tại sao máy khách web vẫn tin tưởng chứng chỉ SSL ngay cả khi chứng chỉ máy chủ tự ký (trong trường hợp của tôi, trang web được hiển thị là được ký bởi COMODO), nếu CloudFlare hoạt động như một proxy .
xuhdev

Điều đó không có ý nghĩa. Tự ký không giống như đã ký bởi Comodo.
kasperd

@ AD7six Nếu đó là hai kết nối SSL khác nhau, thì chúng cũng cần phải có chứng chỉ. Để chứng chỉ SSL được cấp, chủ sở hữu tên miền phải phê duyệt trước. Và xuhdev nói rằng điều đó đã không xảy ra.
kasperd

2
@ AD7six Khi CA và CDN là hai thực thể riêng biệt, rõ ràng hơn một chút là bạn đang yêu cầu chứng chỉ từ một thực thể và trao nó cho thực thể khác. Khi hai là một thực thể, nó có thể trở nên ít rõ ràng hơn đối với chủ sở hữu tên miền mà họ đang đồng ý. Tôi muốn nói rằng onus có trên Cloudflare để nói với chủ sở hữu tên miền, những gì họ đang đồng ý. Dường như điều này không đủ rõ ràng để xuhdev nhận ra, vì rõ ràng anh ta không biết Cloudflare có chứng chỉ. Tôi không biết điều này có nghĩa là Cloudflare không giải thích rõ ràng hay nếu xuhdev không chú ý
kasperd

Câu trả lời:


13

Tham khảo tài liệu

Tài liệu của Cloudflare khá rõ ràng về điều này. Rõ ràng (cần phải rõ ràng) Ssl linh hoạt có nghĩa là kết nối từ đám mây đến nguồn gốc không được mã hóa.

Hình ảnh ssl của Cloudflare

Đối với ssl đầy đủ (hoán vị), áp dụng như sau:

Mã hóa kết nối giữa khách truy cập trang web của bạn và CloudFlare và từ CloudFlare đến máy chủ của bạn.

Chúng là hai kết nối khác nhau , vì vậy câu trả lời cho "Cloudflare có biết nội dung được giải mã không?" là đúng".

Lưu ý rằng đối với chứng chỉ SSL EV hoặc OV - bạn cần tải chúng lên đám mây để người dùng cuối nhìn thấy , đó vẫn là 2 kết nối - không phải mã hóa đầu cuối.

Lý do nên sử dụng SSL

Sử dụng ssl ngăn chặn các cuộc tấn công MITM , điều đó không có nghĩa là cdn bạn đang sử dụng không biết gì về nội dung mà nó đang phục vụ cho bạn. Bạn có thể nên tự hỏi tại sao bạn muốn mã hóa kết nối.

Không có SSL, có rất nhiều nơi có thể xảy ra một cuộc tấn công MITM:

Không có ssl, rất nhiều điểm tấn công có thể

Với SSL linh hoạt - loại bỏ hầu hết, nhưng không phải tất cả chúng:

Ssl linh hoạt, chỉ có một điểm tấn công bây giờ

Với Full SSL - vẫn có khả năng xảy ra cuộc tấn công MITM:

Ssl đầy đủ, một điểm tấn công nhưng bây giờ khó hơn

Với Full SSL (Strict) - một cuộc tấn công MITM hiện không thể thực hiện được nếu không có chính đám mây bị xâm phạm:

SSL đầy đủ - không thể tấn công

Nếu bạn lo ngại rằng cloudflare có thể đọc dữ liệu của bạn - đừng sử dụng cloudflare .


5
Điều quan trọng cần lưu ý là ngay cả với SSL nghiêm ngặt, bạn sẽ không bao giờ biết liệu CloudFlare có bị xâm phạm hay không trừ khi có ai đó rò rỉ trái phép. Nếu họ bị xâm phạm, họ có thể đọc mọi thứ .
Oli

3
Tôi thực sự thích cách sử dụng "NSA" của họ và nụ cười NSA khét tiếng.
Traubenfuchs
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.