Cloudflare'nin “Esnek SSL” nin herhangi bir dezavantajı var mı?


12

Cloudflare , sitenizi “Esnek SSL” olarak adlandırdıkları bir güvenlik sertifikası satın almak ve yüklemek zorunda kalmadan SSL üzerinden sunmanıza olanak tanır . (Proxy görevi görürler ve sunucunuzdan sunucularına olan bağlantı şifrelenmeden kalırken sitenizi sunucularından SSL üzerinden sunarlar.)

Şu anda ücretsiz Esnek SSL sunuyorlar .

Google'ın HTTPS'nin artık bir sıralama sinyali olduğunu duyurmasıyla, birkaç siteyi Cloudflare'ye geçirmeyi, bir Pro hesabı satın almayı ve “Esnek SSL” seçeneğini açmayı düşünüyorum, çünkü HTTPS üzerinden birden fazla siteye hizmet vermenin en kolay yolu gibi görünüyor birden çok sertifika satın almak ve yönetmek zorunda kalmak.

Cloudflare'nin Esnek SSL'sinin bir dezavantajı var mı?

Cloudflare'ı proxy olarak kullanmakta rahatım - iki faktörle daha çok ilgileniyorum:

  1. Son kullanıcılar için deneyim. (ör. ziyaretçiler güvenlik uyarıları görecek mi?)
  2. Sunulan güvenlik düzeyi. (Basit bir blog için yeterli, ancak çevrimiçi bir mağaza için değil, kredi kartı verilerini sunucularından şifrelenmemiş olarak size mi aktardılar?)

Güvenlik bir sorunsa, muhtemelen StartSSL ücretsiz seviye 01 SSL sertifikası kullanırım. Başka bir şey için (özellikle SSL kullanımının bir sıralama faktörü olduğu gerçeği ışığında Google'a bağlantının güvenli olduğu izlenimi vermek gibi) Esnek SSL kolay ve ucuz bir seçenek olmalıdır.
Rana Prathap

Bence bir dezavantajı fiyat. Ucuz bir SSL sertifikası size yıllık 5 $ maliyeti.
Ka Rl

@KaRl bu ücretsiz bir hizmettir, bu yüzden fiyat bir dezavantaj olarak düşünülmemelidir.
Andrew Lott

Yanıtlar:


7

Esnek SSL tam olarak güvenli DEĞİLDİR

CloudFlare Esnek SSL, kullanıcıdan CloudFlare sunucularına şifreleme sağlar, ancak sunucularından web sitesi sunucusuna şifreleme sağlamaz . Bu, web sunucunuza bir sertifika yükleme (ve yenileme) zorluğunu ortadan kaldırır, ancak trafiğin yolculuğun 2. yarısında düz metin gönderildiği anlamına gelir.

Cloudflare Esnek SSL

Bu kurulumun avantajları:

  • Başlamak kolay, web sunucunuza sertifika yüklemeye ve periyodik yenilemelerle uğraşmanıza gerek yok
  • Güvenli olmayan WiFi bağlantılarında (internet kafeler) ve yerel ağınızdaki veya ISS düzeyindeki diğer kişilerin gizlice dinlenmesine karşı koruma sağlar.
  • Kullanıcılar tarayıcılarında yeşil bir asma kilit görecek ve herhangi bir güvenlik uyarısı almamalıdır

Doğasında var olan sorunlar:

  • CloudFlare'den sunucunuza gelen trafik şifrelenmez, yani toptan ISP'ler, gövde sağlayıcıları ve NSA tüm istekleri düz metin olarak okuyabilir
  • Trafik, başka bir sunucunun sunucunuzu taklit edip trafiğini alabileceği ortadaki adam (MITM) saldırılarıdır (bu sorun "Tam" SSL ayarı için de geçerli olsa da, önlemek için "Katı" moduna ihtiyacınız olacaktır bu).
  • Yukarıdakiler nedeniyle, web sitenizin ziyaretçilerine yanıltıcı ve yanlış bir güvenlik duygusu sağlar (ancak bu mekan için uygun olmayan bir rant)

SSL ayarlarının karşılaştırılması

CloudFlare SSL ayarları

Trafik, özel ve güvenli bir ağ üzerinden gönderildiğinde, bir proxy ile arka uç sunucusu arasındaki trafiğin şifrelenmemesi yaygındır. Ancak bu durumda trafiği genel internet üzerinden yönlendiriyorsunuz.

CloudFlare, gerçek uçtan uca şifreleme için web sunucunuza bir sertifika yüklemenizi ve hatta bunu yapmak için kontrol panelinden ücretsiz sertifikalar vermenizi önerir (kendinden imzalı bir sertifika yüklemek istemiyorsanız). CloudFlare Blogundaki tartışmadan :

Aslında, uçtan uca kripto için sunucunuza yükleyebileceğiniz alana sabitlenmiş ücretsiz bir sertifika sağlayacağız.

"Tam" veya "Esnek" SSL kullanılsın, kullanıcılarınız bir pop-up veya başka uyarılar görmemelidir.


Teşekkürler, Jeff. Benim anlayış Esnek SSL olmasıdır yapan bir sertifika için negate ihtiyacını - Cevabını ilk bölümü doğru olduğundan emin değilim bu yüzden, kendi sunucusunda birini yüklemek zorunda değiliz. Cloudflare, bunu isteyen müşteriler için, yolculuğun yalnızca yarısının şifrelenmiş olduğu Esnek SSL kurulumu yerine, uçtan uca şifrelemeyi etkinleştirmek için isteğe bağlı bir ekstra olarak ücretsiz bir sertifika sunacaklarını söylüyor. . Yanıtınızı memnuniyetle kabul edilmiş olarak işaretleyeceğimi göstermek üzere düzenleyebiliyorsanız. Eğer yanlış yorumladıysam haberim olsun!
Nick

1
Cevabımı güncelledim. Aslında SSL'nin kullanılabileceği 2 konum vardır. FlexibleSSL, kaynak sunucuda SSL sertifikası ihtiyacını ortadan kaldırır. CloudFlare, önbellek sunucularında ücretsiz SSL sertifikası sağlayacaktır. Yani aslında ikimiz de haklıyız (veya bakış açınıza bağlı olarak her ikisi de yanlış).
jeffatrackaid

1
Jeff, cevabınıza bazı diyagramlar eklemek için bir düzenleme önerdim ve daha net ve daha iyi akabilmek için tüm cevabı yeniden yapılandırdı. Umarım bu iyidir ve umarım niyetini değiştirmedim.
Simon East

1
@SimonEast Üstün düzenleme, burada gördüğüm en iyilerden biri. Elbette CloudFlare'deki Damon'dan da doğrudan cevap almak güzeldi.
dan

3

Bu bağlantı, CloudFlare SSL seçeneklerinin ne olduğunu açıklar .

Esnek SSL, en azından şu anda sunucunuzla tam olarak şifrelememektedir. Blogda Matthew tarafından tartışılan sorun ("Aslında, uçtan uca kripto için sunucunuza yükleyebileceğiniz ücretsiz bir sertifika sağlayacağız .... ücretsiz") değil ' t henüz mevcut değil.

Ücretsiz SSL seçeneğini sunduğumuzda, içeriği kesinlikle tüm değişiklikleri yansıtacak şekilde güncelleyeceğiz.


Bunun için teşekkürler Damon. Sorumumu göndermeden önce bu CloudFlare sayfasını ziyaret ettim, ancak bir nedenden ötürü yalnızca o anda resmi içeriyordu - Esnek SSL uyarısı ile aşağıdaki metni değil. Yine de, şeyleri açıklığa kavuşturmaya yardımcı olur - teşekkürler.
Nick

-1

Büyük bir SEO dezavantajı var. Google , SSL sitelerini desteklediğini ancak sertifikanın 2048 bit olması gerektiğini söyledi CloudFlare'ın "esnek SSL" değeri 2048 bit değil.


1
Bunlar şu anda RSA 2048'den farklı bir şifreleme yöntemi olan EC 256 olarak yayınlanmaktadır. En azından güvenli olacak ve SEO üzerinde herhangi bir etkisi olmayacaktır.
Andrew Lott

Evet, sanırım bunu değiştirdiler ...
Alex
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.