Cloudflare'nin “Esnek SSL” nin herhangi bir dezavantajı var mı?

Cloudflare , sitenizi “Esnek SSL” olarak adlandırdıkları bir güvenlik sertifikası satın almak ve yüklemek zorunda kalmadan SSL üzerinden sunmanıza olanak tanır . (Proxy görevi görürler ve sunucunuzdan sunucularına olan bağlantı şifrelenmeden kalırken sitenizi sunucularından SSL üzerinden sunarlar.)

Şu anda ücretsiz Esnek SSL sunuyorlar .

Google'ın HTTPS'nin artık bir sıralama sinyali olduğunu duyurmasıyla, birkaç siteyi Cloudflare'ye geçirmeyi, bir Pro hesabı satın almayı ve “Esnek SSL” seçeneğini açmayı düşünüyorum, çünkü HTTPS üzerinden birden fazla siteye hizmet vermenin en kolay yolu gibi görünüyor birden çok sertifika satın almak ve yönetmek zorunda kalmak.

Cloudflare'nin Esnek SSL'sinin bir dezavantajı var mı?

Cloudflare'ı proxy olarak kullanmakta rahatım - iki faktörle daha çok ilgileniyorum:

1. Son kullanıcılar için deneyim. (ör. ziyaretçiler güvenlik uyarıları görecek mi?)
2. Sunulan güvenlik düzeyi. (Basit bir blog için yeterli, ancak çevrimiçi bir mağaza için değil, kredi kartı verilerini sunucularından şifrelenmemiş olarak size mi aktardılar?)

Esnek SSL tam olarak güvenli DEĞİLDİR

CloudFlare Esnek SSL, kullanıcıdan CloudFlare sunucularına şifreleme sağlar, ancak sunucularından web sitesi sunucusuna şifreleme sağlamaz . Bu, web sunucunuza bir sertifika yükleme (ve yenileme) zorluğunu ortadan kaldırır, ancak trafiğin yolculuğun 2. yarısında düz metin gönderildiği anlamına gelir.

Bu kurulumun avantajları:

• Başlamak kolay, web sunucunuza sertifika yüklemeye ve periyodik yenilemelerle uğraşmanıza gerek yok
• Güvenli olmayan WiFi bağlantılarında (internet kafeler) ve yerel ağınızdaki veya ISS düzeyindeki diğer kişilerin gizlice dinlenmesine karşı koruma sağlar.
• Kullanıcılar tarayıcılarında yeşil bir asma kilit görecek ve herhangi bir güvenlik uyarısı almamalıdır

Doğasında var olan sorunlar:

• CloudFlare'den sunucunuza gelen trafik şifrelenmez, yani toptan ISP'ler, gövde sağlayıcıları ve NSA tüm istekleri düz metin olarak okuyabilir
• Trafik, başka bir sunucunun sunucunuzu taklit edip trafiğini alabileceği ortadaki adam (MITM) saldırılarıdır (bu sorun "Tam" SSL ayarı için de geçerli olsa da, önlemek için "Katı" moduna ihtiyacınız olacaktır bu).
• Yukarıdakiler nedeniyle, web sitenizin ziyaretçilerine yanıltıcı ve yanlış bir güvenlik duygusu sağlar (ancak bu mekan için uygun olmayan bir rant)

SSL ayarlarının karşılaştırılması

Trafik, özel ve güvenli bir ağ üzerinden gönderildiğinde, bir proxy ile arka uç sunucusu arasındaki trafiğin şifrelenmemesi yaygındır. Ancak bu durumda trafiği genel internet üzerinden yönlendiriyorsunuz.

CloudFlare, gerçek uçtan uca şifreleme için web sunucunuza bir sertifika yüklemenizi ve hatta bunu yapmak için kontrol panelinden ücretsiz sertifikalar vermenizi önerir (kendinden imzalı bir sertifika yüklemek istemiyorsanız). CloudFlare Blogundaki tartışmadan :

Aslında, uçtan uca kripto için sunucunuza yükleyebileceğiniz alana sabitlenmiş ücretsiz bir sertifika sağlayacağız.

"Tam" veya "Esnek" SSL kullanılsın, kullanıcılarınız bir pop-up veya başka uyarılar görmemelidir.

Bu bağlantı, CloudFlare SSL seçeneklerinin ne olduğunu açıklar .

Esnek SSL, en azından şu anda sunucunuzla tam olarak şifrelememektedir. Blogda Matthew tarafından tartışılan sorun ("Aslında, uçtan uca kripto için sunucunuza yükleyebileceğiniz ücretsiz bir sertifika sağlayacağız .... ücretsiz") değil ' t henüz mevcut değil.

Ücretsiz SSL seçeneğini sunduğumuzda, içeriği kesinlikle tüm değişiklikleri yansıtacak şekilde güncelleyeceğiz.

Büyük bir SEO dezavantajı var. Google , SSL sitelerini desteklediğini ancak sertifikanın 2048 bit olması gerektiğini söyledi CloudFlare'ın "esnek SSL" değeri 2048 bit değil.