Gibt es Nachteile von Cloudflares „Flexible SSL“?

12

Mit Cloudflare können Sie Ihre Site über SSL bereitstellen, ohne ein Sicherheitszertifikat erwerben und installieren zu müssen. Dieses Produkt wird als „flexibles SSL“ bezeichnet . (Sie fungieren als Proxy und dienen Ihrer Site über SSL von ihren Servern aus, während die Verbindung von Ihrem Server zu ihren Servern unverschlüsselt bleibt.)

Sie bieten derzeit Flexibles SSL kostenlos an .

Mit der Ankündigung von Google, dass HTTPS jetzt ein Ranking-Signal ist , erwäge ich, mehrere Websites auf Cloudflare umzustellen, ein Pro-Konto zu kaufen und die Option „Flexibles SSL“ zu aktivieren, da dies der einfachste Weg ist, mehrere Websites über HTTPS ohne zu beliefern mehrere Zertifikate erwerben und verwalten müssen.

Gibt es Nachteile von Cloudflares flexiblem SSL?

Ich bin mit Cloudflare als Proxy vertraut - ich interessiere mich mehr für zwei Faktoren:

  1. Die Erfahrung für Endbenutzer. (zB Werden Besucher Sicherheitswarnungen sehen?)
  2. Das angebotene Sicherheitsniveau. (Genug für ein einfaches Blog, aber nicht für einen Online-Shop, weil sie Kreditkartendaten von ihrem Server unverschlüsselt an Ihren Server weiterleiten würden?)
Nick
quelle
Wenn die Sicherheit ein Problem darstellt, würde ich wahrscheinlich ein SSL-Zertifikat der Stufe 01 von StartSSL verwenden. Für alles andere (z. B. um Google den Eindruck zu vermitteln, dass die Verbindung sicher ist, insbesondere angesichts der Tatsache, dass die Verwendung von SSL jetzt ein Ranking-Faktor ist) sollte flexibles SSL eine einfache und kostengünstige Option sein.
Rana Prathap
Ein Nachteil ist meiner Meinung nach der Preis. Ein billiges SSL-Zertifikat kostet Sie 5 $ pro Jahr.
Ka Rl
@KaRl Dies ist ein kostenloser Service, daher sollte der Preis nicht als Nachteil angesehen werden.
Andrew Lott

Antworten:

7

Flexibles SSL ist NICHT vollständig sicher

Das flexible SSL von CloudFlare bietet Verschlüsselung vom Benutzer zu den Servern von CloudFlare, nicht jedoch von deren Servern zum Website-Server. Dies erspart Ihnen die mühsame Installation (und Erneuerung) eines Zertifikats auf Ihrem Webserver, bedeutet jedoch, dass der Datenverkehr in der zweiten Hälfte der Reise im Klartext gesendet wird.

Flexibles SSL für Cloudflare

Die Vorteile dieses Setups sind:

  • Einfacher Einstieg, keine Installation von Zertifikaten auf Ihrem Webserver und keine regelmäßige Erneuerung
  • Bietet Schutz vor dem Abhören unsicherer WLAN-Verbindungen (Internetcafés) und anderer Geräte in Ihrem lokalen Netzwerk oder auf ISP-Ebene.
  • Benutzer sehen ein grünes Vorhängeschloss in ihrem Browser und sollten keine Sicherheitswarnungen erhalten

Die inhärenten Probleme sind:

  • Der Datenverkehr von CloudFlare zu Ihrem Server ist nicht verschlüsselt. Dies bedeutet, dass Großhandels-ISPs, Trunk-Provider und der NSA weiterhin alle Anforderungen im Klartext lesen können
  • Bei dem Datenverkehr handelt es sich um MITM-Angriffe (Man-in-the-Middle), bei denen ein anderer Server die Identität Ihres Servers annehmen und den Datenverkehr empfangen kann (obwohl dieses Problem auch für die SSL-Einstellung "Vollständig" gilt, müssen Sie den Modus "Streng" verwenden, um dies zu vermeiden Dies).
  • Aufgrund des oben Gesagten wird den Besuchern Ihrer Website ein irreführendes und falsches Sicherheitsgefühl vermittelt (dies ist jedoch ein Vorwurf, der für diesen Veranstaltungsort nicht geeignet ist).

Vergleich der SSL-Einstellungen

CloudFlare SSL-Einstellungen

Das Nichtverschlüsseln des Datenverkehrs zwischen einem Proxy- und einem Back-End-Server ist üblich, wenn der Datenverkehr über ein privates, sicheres Netzwerk gesendet wird. In diesem Fall leiten Sie den Datenverkehr jedoch über das öffentliche Internet.

CloudFlare empfiehlt, dass Sie auch ein Zertifikat auf Ihrem Webserver für eine echte End-to-End-Verschlüsselung installieren und dafür sogar kostenlose Zertifikate über das Dashboard bereitstellen (wenn Sie kein selbstsigniertes Zertifikat installieren möchten). Aus der Diskussion im CloudFlare-Blog :

Tatsächlich stellen wir ein kostenloses Zertifikat zur Verfügung, das an die Domäne gebunden ist, die Sie für End-to-End-Krypto auf Ihrem Server installieren können.

Unabhängig davon, ob "Full" oder "Flexible" SSL verwendet wird, sollten Ihre Benutzer kein Popup oder andere Warnungen sehen.

Jeffatrackaid
quelle
Danke, Jeff. Mein Verständnis ist , dass Flexible SSL tut negieren die Notwendigkeit für ein Zertifikat - Sie sind nicht eine auf Ihrem eigenen Server installieren verpflichtet, also bin ich nicht sicher , dass der erste Teil Ihrer Antwort richtig ist. Es scheint, dass Cloudflare nur sagt, dass Kunden, die es wünschen, ein kostenloses Zertifikat als optionales Extra anbieten, um eine vollständige Ende-zu-Ende-Verschlüsselung anstelle des flexiblen SSL-Setups zu ermöglichen, bei dem nur die Hälfte der Reise verschlüsselt ist . Wenn Sie Ihre Antwort bearbeiten können, um zu berücksichtigen, dass ich sie gerne als akzeptiert markieren werde. Wenn ich falsch interpretiert habe, lass es mich wissen!
Nick
1
Ich habe meine Antwort aktualisiert. Es gibt tatsächlich 2 Standorte, an denen SSL verwendet werden kann. Die FlexibleSSL negiert die Notwendigkeit eines SSL-Zertifikats auf dem Ursprungsserver. CloudFlare stellt das SSL-Zertifikat auf seinen Caching-Servern kostenlos zur Verfügung. Wir sind also beide richtig (oder beide falsch, je nach Ihrer Sichtweise).
Jeffatrackaid
1
Jeff, ich schlug vor, Ihre Antwort zu bearbeiten, um sie in einige Diagramme aufzunehmen. Am Ende wurde die gesamte Antwort neu strukturiert, um sie klarer und besser verständlich zu machen. Ich hoffe das ist in Ordnung und ich hoffe ich habe deine Absicht nicht geändert.
Simon East
1
@ SimonEast Superlative bearbeiten, eines der besten, das ich hier gesehen habe. Natürlich war es auch gut, eine Antwort direkt von Damon bei CloudFlare zu erhalten.
Dan
3

Dieser Link erläutert die CloudFlare-SSL-Optionen .

Zumindest zu diesem Zeitpunkt verschlüsselt flexibles SSL nicht vollständig auf Ihrem Server. Das im Blog von Matthew diskutierte Problem ("Tatsächlich stellen wir ein kostenloses Zertifikat zur Verfügung, das an die Domain gebunden ist, die Sie auf Ihrem Server für End-to-End-Krypto ... kostenlos installieren können.") Ist nicht ". Noch nicht verfügbar.

Wir werden den Inhalt mit Sicherheit aktualisieren, um etwaige Änderungen zu berücksichtigen, wenn wir die kostenlose SSL-Option einführen.

damoncloudflare
quelle
Danke dafür, Damon. Ich habe diese CloudFlare-Seite vor dem Posten meiner Frage besucht, aber aus irgendeinem Grund enthielt sie zu diesem Zeitpunkt nur das Bild - nicht den folgenden Text mit der Warnung zu Flexible SSL. Es hilft jedoch, die Dinge zu klären - danke.
Nick
-1

Es gibt einen großen SEO-Nachteil. Google sagte , dass es SSL - Sites favorisiert aber das Zertifikat sollte 2048 Bit sein CloudFlare „flexible SSL“ ist nicht 2048 Bit.

Alex
quelle
1
Diese werden derzeit als EC 256 herausgegeben, eine andere Verschlüsselungsmethode als RSA 2048. Sie ist mindestens genauso sicher und hat keine Auswirkungen auf die Suchmaschinenoptimierung.
Andrew Lott
Ja, sie haben das wohl geändert ...
Alex