Có bất kỳ nhược điểm nào đối với SSL linh hoạt SSL của Cloudflare không?

Cloudflare cho phép bạn phục vụ trang web của mình qua SSL mà không phải mua và cài đặt chứng chỉ bảo mật, một sản phẩm mà họ gọi là SSL Linh hoạt SSL . (Họ hoạt động như một proxy và phục vụ trang web của bạn qua SSL từ máy chủ của họ, trong khi kết nối từ máy chủ của bạn đến máy chủ của họ vẫn không được mã hóa.)

Họ hiện cung cấp SSL linh hoạt miễn phí .

Với thông báo của Google rằng HTTPS hiện là tín hiệu xếp hạng , tôi đang xem xét chuyển đổi một số trang web sang Cloudflare, mua tài khoản Pro và bật tùy chọn SSL linh hoạt SSL của họ, bởi vì đây có vẻ là cách dễ nhất để phục vụ một số trang web qua HTTPS mà không cần phải mua và quản lý nhiều chứng chỉ.

Có bất kỳ nhược điểm nào đối với SSL linh hoạt của Cloudflare không?

Tôi cảm thấy thoải mái khi sử dụng Cloudflare làm proxy - Tôi quan tâm nhiều hơn đến hai yếu tố:

1. Trải nghiệm cho người dùng cuối. (ví dụ: khách truy cập sẽ thấy cảnh báo an ninh?)
2. Mức độ bảo mật được cung cấp. (Đủ cho một blog đơn giản, nhưng không phải cho một cửa hàng trực tuyến vì họ sẽ chuyển dữ liệu thẻ tín dụng từ máy chủ của họ sang của bạn không được mã hóa?)

SSL linh hoạt KHÔNG hoàn toàn an toàn

SSL linh hoạt của CloudFlare cung cấp mã hóa từ người dùng đến các máy chủ của CloudFlare, nhưng không phải từ máy chủ của họ đến máy chủ trang web. Điều này tránh được rắc rối khi cài đặt (và gia hạn) chứng chỉ trên máy chủ web của bạn, nhưng điều đó có nghĩa là lưu lượng truy cập được gửi văn bản đơn giản trong nửa sau của hành trình.

Những lợi ích của thiết lập này là:

• Dễ dàng bắt đầu, không cần cài đặt chứng chỉ trên máy chủ web của bạn và xử lý các gia hạn định kỳ
• Cung cấp bảo vệ khỏi việc nghe lén các kết nối WiFi không an toàn (quán cà phê internet) và các mạng khác trên mạng cục bộ của bạn hoặc ở cấp độ ISP.
• Người dùng sẽ thấy một ổ khóa màu xanh lá cây trong trình duyệt của họ và sẽ không nhận được bất kỳ cảnh báo bảo mật nào

Các vấn đề cố hữu là:

• Lưu lượng truy cập từ CloudFlare đến máy chủ của bạn không được mã hóa, có nghĩa là ISP bán buôn, nhà cung cấp trung kế và NSA vẫn có thể đọc tất cả các yêu cầu bằng văn bản thuần túy
• Lưu lượng truy cập là đối tượng tấn công trung gian (MITM) trong đó máy chủ khác có thể mạo danh máy chủ của bạn và nhận lưu lượng truy cập (mặc dù vấn đề này cũng áp dụng cho cài đặt SSL "Đầy đủ", bạn sẽ cần chế độ "Nghiêm" điều này).
• Vì những điều trên, nó cung cấp một cảm giác an toàn sai lệch và sai lầm cho khách truy cập trang web của bạn (nhưng đó là một lời tán dương không phù hợp với địa điểm này)

So sánh các cài đặt SSL

Không mã hóa lưu lượng giữa proxy và máy chủ phụ trợ là phổ biến khi lưu lượng được gửi qua mạng riêng, bảo mật. Nhưng trong trường hợp này, bạn đang định tuyến lưu lượng truy cập qua internet công cộng.

CloudFlare khuyên bạn cũng nên cài đặt chứng chỉ trên máy chủ web của mình để mã hóa đầu cuối thực sự và thậm chí cung cấp chứng chỉ miễn phí qua bảng điều khiển của họ để làm như vậy (nếu bạn không muốn cài đặt chứng chỉ tự ký). Từ cuộc thảo luận trên Blog CloudFlare :

Trên thực tế, chúng tôi sẽ cung cấp một chứng chỉ miễn phí được ghim vào tên miền mà bạn có thể cài đặt trên máy chủ của mình cho tiền điện tử đầu cuối.

Cho dù SSL "Đầy đủ" hay "Linh hoạt" được sử dụng, người dùng của bạn sẽ không thấy cảnh báo bật lên hoặc cảnh báo khác.

Liên kết này giải thích các tùy chọn SSL của CloudFlare là gì.

SSL linh hoạt, ít nhất là tại thời điểm này, không mã hóa hoàn toàn cho máy chủ của bạn. Vấn đề đang được thảo luận trên blog của Matthew ("Trên thực tế, chúng tôi sẽ cung cấp chứng chỉ miễn phí được ghim vào tên miền mà bạn có thể cài đặt trên máy chủ của mình cho tiền điện tử đầu cuối .... miễn phí") không phải là ' t có sẵn chưa.

Chúng tôi chắc chắn sẽ cập nhật nội dung để phản ánh bất kỳ thay đổi nào khi chúng tôi đưa ra tùy chọn SSL miễn phí.

Có một nhược điểm SEO lớn. Google cho biết họ ủng hộ các trang web SSL nhưng chứng chỉ phải là "SSL linh hoạt" 2048 bit của CloudFlare chứ không phải 2048 bit.