Có bất kỳ nhược điểm nào đối với SSL linh hoạt SSL của Cloudflare không?


12

Cloudflare cho phép bạn phục vụ trang web của mình qua SSL mà không phải mua và cài đặt chứng chỉ bảo mật, một sản phẩm mà họ gọi là SSL Linh hoạt SSL . (Họ hoạt động như một proxy và phục vụ trang web của bạn qua SSL từ máy chủ của họ, trong khi kết nối từ máy chủ của bạn đến máy chủ của họ vẫn không được mã hóa.)

Họ hiện cung cấp SSL linh hoạt miễn phí .

Với thông báo của Google rằng HTTPS hiện là tín hiệu xếp hạng , tôi đang xem xét chuyển đổi một số trang web sang Cloudflare, mua tài khoản Pro và bật tùy chọn SSL linh hoạt SSL của họ, bởi vì đây có vẻ là cách dễ nhất để phục vụ một số trang web qua HTTPS mà không cần phải mua và quản lý nhiều chứng chỉ.

Có bất kỳ nhược điểm nào đối với SSL linh hoạt của Cloudflare không?

Tôi cảm thấy thoải mái khi sử dụng Cloudflare làm proxy - Tôi quan tâm nhiều hơn đến hai yếu tố:

  1. Trải nghiệm cho người dùng cuối. (ví dụ: khách truy cập sẽ thấy cảnh báo an ninh?)
  2. Mức độ bảo mật được cung cấp. (Đủ cho một blog đơn giản, nhưng không phải cho một cửa hàng trực tuyến vì họ sẽ chuyển dữ liệu thẻ tín dụng từ máy chủ của họ sang của bạn không được mã hóa?)

Nếu bảo mật là một mối quan tâm, có lẽ tôi sẽ sử dụng chứng chỉ SSL cấp 01 miễn phí StartSSL. Đối với bất kỳ điều gì khác (chẳng hạn như tạo ấn tượng với Google rằng kết nối là an toàn, đặc biệt là việc sử dụng SSL hiện là một yếu tố xếp hạng) SSL linh hoạt nên là một lựa chọn dễ dàng và rẻ tiền.
Rana Prathap

Theo tôi, một nhược điểm là giá cả. Chứng chỉ SSL giá rẻ khiến bạn mất 5 đô la mỗi năm.
Ka Rl

@KaRl đây là một dịch vụ miễn phí, vì vậy giá không nên được coi là bất lợi.
Andrew Lott

Câu trả lời:


7

SSL linh hoạt KHÔNG hoàn toàn an toàn

SSL linh hoạt của CloudFlare cung cấp mã hóa từ người dùng đến các máy chủ của CloudFlare, nhưng không phải từ máy chủ của họ đến máy chủ trang web. Điều này tránh được rắc rối khi cài đặt (và gia hạn) chứng chỉ trên máy chủ web của bạn, nhưng điều đó có nghĩa là lưu lượng truy cập được gửi văn bản đơn giản trong nửa sau của hành trình.

Cloudflare SSL linh hoạt

Những lợi ích của thiết lập này là:

  • Dễ dàng bắt đầu, không cần cài đặt chứng chỉ trên máy chủ web của bạn và xử lý các gia hạn định kỳ
  • Cung cấp bảo vệ khỏi việc nghe lén các kết nối WiFi không an toàn (quán cà phê internet) và các mạng khác trên mạng cục bộ của bạn hoặc ở cấp độ ISP.
  • Người dùng sẽ thấy một ổ khóa màu xanh lá cây trong trình duyệt của họ và sẽ không nhận được bất kỳ cảnh báo bảo mật nào

Các vấn đề cố hữu là:

  • Lưu lượng truy cập từ CloudFlare đến máy chủ của bạn không được mã hóa, có nghĩa là ISP bán buôn, nhà cung cấp trung kế và NSA vẫn có thể đọc tất cả các yêu cầu bằng văn bản thuần túy
  • Lưu lượng truy cập là đối tượng tấn công trung gian (MITM) trong đó máy chủ khác có thể mạo danh máy chủ của bạn và nhận lưu lượng truy cập (mặc dù vấn đề này cũng áp dụng cho cài đặt SSL "Đầy đủ", bạn sẽ cần chế độ "Nghiêm" điều này).
  • Vì những điều trên, nó cung cấp một cảm giác an toàn sai lệch và sai lầm cho khách truy cập trang web của bạn (nhưng đó là một lời tán dương không phù hợp với địa điểm này)

So sánh các cài đặt SSL

Cài đặt SSL CloudFlare

Không mã hóa lưu lượng giữa proxy và máy chủ phụ trợ là phổ biến khi lưu lượng được gửi qua mạng riêng, bảo mật. Nhưng trong trường hợp này, bạn đang định tuyến lưu lượng truy cập qua internet công cộng.

CloudFlare khuyên bạn cũng nên cài đặt chứng chỉ trên máy chủ web của mình để mã hóa đầu cuối thực sự và thậm chí cung cấp chứng chỉ miễn phí qua bảng điều khiển của họ để làm như vậy (nếu bạn không muốn cài đặt chứng chỉ tự ký). Từ cuộc thảo luận trên Blog CloudFlare :

Trên thực tế, chúng tôi sẽ cung cấp một chứng chỉ miễn phí được ghim vào tên miền mà bạn có thể cài đặt trên máy chủ của mình cho tiền điện tử đầu cuối.

Cho dù SSL "Đầy đủ" hay "Linh hoạt" được sử dụng, người dùng của bạn sẽ không thấy cảnh báo bật lên hoặc cảnh báo khác.


Cảm ơn, Jeff. Tôi hiểu rằng SSL linh hoạt không phủ nhận nhu cầu về chứng chỉ - bạn không bắt buộc phải cài đặt nó trên máy chủ của riêng bạn, vì vậy tôi không chắc phần đầu tiên trong câu trả lời của bạn là chính xác. Có vẻ như Cloudflare chỉ nói rằng, đối với những khách hàng muốn có nó, họ sẽ cung cấp chứng chỉ miễn phí dưới dạng tùy chọn bổ sung để kích hoạt mã hóa toàn bộ từ đầu đến cuối thay vì thiết lập SSL linh hoạt khi chỉ một nửa hành trình được mã hóa . Nếu bạn có thể chỉnh sửa câu trả lời của mình để phản ánh rằng tôi sẽ vui vẻ đánh dấu nó là được chấp nhận. Nếu tôi giải thích sai, hãy cho tôi biết!
Nick

1
Tôi đã cập nhật câu trả lời của mình. Thực tế có 2 địa điểm mà SSL có thể được sử dụng. Linh hoạtSSL phủ nhận sự cần thiết của chứng chỉ SSL trên máy chủ gốc. CloudFlare sẽ cung cấp chứng chỉ SSL miễn phí trên các máy chủ bộ đệm của họ. Vì vậy, chúng tôi thực sự là cả hai đúng (hoặc cả hai sai tùy thuộc vào quan điểm của bạn).
jeffatrackaid

1
Jeff, tôi đã đề nghị chỉnh sửa câu trả lời của bạn để thêm vào một số sơ đồ, và cuối cùng đã cơ cấu lại toàn bộ câu trả lời để làm cho nó rõ ràng hơn và trôi chảy hơn. Tôi hy vọng điều đó ổn và tôi hy vọng tôi đã không thay đổi ý định của bạn.
Simon East

1
@SimonEast Chỉnh sửa Superlative, một trong những điều tốt nhất tôi từng thấy ở đây. Tất nhiên, thật tốt khi nhận được câu trả lời trực tiếp từ Damon tại CloudFlare.
dan

3

Liên kết này giải thích các tùy chọn SSL của CloudFlare là gì.

SSL linh hoạt, ít nhất là tại thời điểm này, không mã hóa hoàn toàn cho máy chủ của bạn. Vấn đề đang được thảo luận trên blog của Matthew ("Trên thực tế, chúng tôi sẽ cung cấp chứng chỉ miễn phí được ghim vào tên miền mà bạn có thể cài đặt trên máy chủ của mình cho tiền điện tử đầu cuối .... miễn phí") không phải là ' t có sẵn chưa.

Chúng tôi chắc chắn sẽ cập nhật nội dung để phản ánh bất kỳ thay đổi nào khi chúng tôi đưa ra tùy chọn SSL miễn phí.


Cảm ơn vì điều này, Damon. Tôi đã truy cập trang CloudFlare đó trước khi đăng câu hỏi của mình, nhưng vì một số lý do, nó chỉ chứa hình ảnh vào thời điểm đó - không phải là văn bản dưới đây với cảnh báo về SSL linh hoạt. Nó giúp để làm rõ mọi thứ, mặc dù - cảm ơn.
Nick

-1

Có một nhược điểm SEO lớn. Google cho biết họ ủng hộ các trang web SSL nhưng chứng chỉ phải là "SSL linh hoạt" 2048 bit của CloudFlare chứ không phải 2048 bit.


1
Chúng hiện đang được phát hành dưới dạng EC 256, đây là một phương thức mã hóa khác với RSA 2048. Nó sẽ ít nhất là an toàn và sẽ không có bất kỳ ảnh hưởng nào đến SEO.
Andrew Lott

Phải, đoán họ đã thay đổi điều này ...
Alex
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.