Kennt Cloudflare den entschlüsselten Inhalt bei Verwendung einer https-Verbindung?

11

CloudFlare bietet SSL-Unterstützung. Wenn ein Besucher jedoch eine durch CloudFlare geschützte Website besucht, kann CloudFlare dann die während dieses Besuchs übertragenen einfachen Daten kennen?

Es gibt einige SSL-Optionen:

  • Flexibles SSL
  • Volles SSL
  • Volles SSL (streng)

Ich weiß, dass CloudFlare für flexibles SSL wahrscheinlich die einfachen Daten kennt, da die Daten von CloudFlare entschlüsselt und unsicher an den Webserver gesendet wurden.

Was ist mit Full SSL und Full SSL (streng)? Wird CloudFlare zuerst entschlüsselt und dann erneut verschlüsselt, um es an den Webserver zu senden?

xuhdev
quelle
Geben Sie ihnen ein Zertifikat für Ihre Domain? Wenn Sie ihnen ein Zertifikat geben müssen, gehen Sie davon aus, dass sie alles sehen und ändern können, was kommuniziert wird. Ohne Zertifikat können sie nicht sehen oder ändern, was gesendet wird, aber sie können auch nichts zwischenspeichern. Ohne Caching erhalten Sie nur einige Teile der Vorteile, die ein CDN bietet.
Kasperd
Nein, ich habe ihnen das Zertifikat nicht gegeben. Wenn CloudFlare nichts zwischenspeichern kann, verhält es sich wie ein Proxy. Ist das richtig? Was ich nicht verstehe, ist, dass in diesem Full SSLFall der Webclient dem SSL-Zertifikat auch dann noch vertraut, wenn das Serverzertifikat selbst signiert ist (in meinem Fall wird die Site von COMODO als signiert angezeigt), wenn CloudFlare wie ein Proxy fungiert .
Xuhdev
Das macht keinen Sinn. Selbst signiert ist nicht dasselbe wie von Comodo signiert.
Kasperd
@ AD7six Wenn es sich um zwei verschiedene SSL-Verbindungen handelt, benötigen sie ebenfalls ein Zertifikat. Damit dieses SSL-Zertifikat ausgestellt werden kann, muss der Domäneninhaber es zuerst genehmigen. Und xuhdev sagte, das sei nicht passiert.
Kasperd
2
@ AD7six Wenn CA und CDN zwei separate Entitäten sind, ist es etwas offensichtlicher, dass Sie ein Zertifikat von einer Entität anfordern und an die andere übergeben. Wenn die beiden eine Einheit sind, kann es für den Domaininhaber weniger offensichtlich werden, wem sie zustimmen. Ich würde sagen, es liegt in der Verantwortung von Cloudflare, dem Domaininhaber mitzuteilen, womit er einverstanden ist. Es scheint, dass dies für xuhdev nicht klar genug war, um es zu realisieren, da er anscheinend nicht wusste, dass Cloudflare ein Zertifikat hat. Ich weiß nicht, ob dies bedeutet, dass Cloudflare nicht klar genug erklärt hat oder ob xuhdev nicht aufgepasst hat
Kasperd

Antworten:

13

Siehe die Dokumentation

Die Dokumente von Cloudflare sind diesbezüglich ziemlich klar. Offensichtlich (es sollte offensichtlich sein) Flexible SSL bedeutet, dass die Verbindung von Cloudflare zum Ursprung unverschlüsselt ist.

SSL-Bild von Cloudflare

Für vollständige SSL (entweder Permutation) gilt Folgendes:

Verschlüsselt die Verbindung zwischen Ihren Website-Besuchern und CloudFlare sowie von CloudFlare zu Ihrem Server.

Es handelt sich um zwei verschiedene Verbindungen . Die Antwort auf "Kennt Cloudflare den entschlüsselten Inhalt?" ist ja".

Beachten Sie, dass für EV- oder OV-SSL-Zertifikate - Sie müssen sie in Cloudflare hochladen, damit Endbenutzer sie sehen können - immer noch 2 Verbindungen vorhanden sind - keine End-to-End-Verschlüsselung.

Gründe für die Verwendung von SSL

Die Verwendung von ssl verhindert MITM-Angriffe. Dies bedeutet nicht, dass die von Ihnen verwendete CDN den Inhalt, den sie bereitstellt , für Sie nicht wahrnimmt . Sie sollten sich vielleicht fragen, warum Sie die Verbindung verschlüsseln möchten.

Ohne SSL gibt es viele Orte, an denen ein MITM-Angriff auftreten kann:

Kein SSL, viele mögliche Angriffspunkte

Mit flexiblem SSL - das eliminiert die meisten, aber nicht alle:

Flexible SSL, jetzt nur noch ein Angriffspunkt

Mit Full SSL besteht immer noch die Möglichkeit eines MITM-Angriffs:

Volle SSL, ein Angriffspunkt, aber jetzt schwieriger

Mit Full SSL (Strict) ist ein MITM-Angriff jetzt nicht möglich, ohne dass Cloudflare selbst kompromittiert wird:

Volles SSL - kein Angriff möglich

Wenn Sie befürchten, dass Cloudflare Ihre Daten lesen kann, verwenden Sie Cloudflare nicht .

AD7six
quelle
5
Es ist wichtig zu beachten, dass Sie selbst bei striktem SSL nie wissen, ob CloudFlare kompromittiert ist, es sei denn, jemand leckt es illegal. Wenn sie kompromittiert sind, können sie alles lesen .
Oli
3
Ich liebe ihre Verwendung von "NSA" und dem berüchtigten NSA-Smiley wirklich.
Traubenfuchs