Знает ли cloudflare расшифрованный контент при использовании соединения https?


11

CloudFlare обеспечивает поддержку SSL. Однако, если посетитель посещает веб-сайт, защищенный CloudFlare, сможет ли CloudFlare узнать простые данные, переданные во время этого посещения?

Есть несколько вариантов SSL:

  • Гибкий SSL
  • Полный SSL
  • Полный SSL (строгий)

Я знаю, что для Гибкого SSL CloudFlare, вероятно, знает простые данные, поскольку данные были расшифрованы CloudFlare и небезопасно отправлены на веб-сервер.

Как насчет Full SSL и Full SSL (строго)? CloudFlare сначала расшифровывает, а затем снова шифрует для отправки на веб-сервер?


Вы даете им сертификат для вашего домена? Если вам нужно дать им сертификат, предположите, что они могут видеть и изменять все, что сообщается. Без сертификата они не могут видеть или изменять то, что отправляется, но они также не могут ничего кешировать. Без кеширования вы получаете только часть преимуществ, предлагаемых CDN.
Касперд

Нет, я не дал им сертификат. Если CloudFlare не может ничего кешировать, он действует как прокси, правильно? Чего я не понимаю, так это того Full SSL, почему веб-клиент по-прежнему доверяет SSL-сертификату, даже если сертификат сервера самоподписан (в моем случае сайт показывается как подписанный COMODO), если CloudFlare действует как прокси ,
xuhdev

Это не имеет смысла. Самостоятельная подпись - это не то же самое, что подпись Комодо.
Касперд

@ AD7six Если это два разных SSL-соединения, то у них также должен быть сертификат. Для того чтобы этот сертификат SSL был выдан, владелец домена должен сначала одобрить его. И xuhdev сказал, что этого не произошло.
Касперд

2
@ AD7six Когда CA и CDN являются двумя отдельными объектами, становится более очевидным, что вы запрашиваете сертификат у одного объекта и передаете его другому. Когда эти два объекта являются единым целым, владельцу домена становится менее очевидно, на что они дают согласие. Я бы сказал, что ответственность за Cloudflare лежит на владельце домена, на что они дают согласие. Похоже, что это не было достаточно ясно, чтобы понять xuhdev, так как он явно не знал о наличии у Cloudflare сертификата. Я не знаю, означает ли это, что Cloudflare недостаточно четко объяснил или xuhdev не обратил внимания
kasperd

Ответы:


13

Обратитесь к документации

Документы Cloudflare довольно ясно об этом. Очевидно (это должно быть очевидно) Гибкий ssl означает, что соединение от cloudflare до источника не зашифровано.

Ssl-изображение Cloudflare

Для полной SSL (любая перестановка) применяется следующее:

Шифрует соединение между посетителями вашего сайта и CloudFlare, а также из CloudFlare на ваш сервер.

Это две разные связи , поэтому ответ на вопрос "Знает ли cloudflare расшифрованный контент?" Да".

Обратите внимание, что для сертификатов EV или OV SSL - вам необходимо загрузить их в cloudflare, чтобы конечные пользователи могли их видеть , это все еще 2 соединения, а не сквозное шифрование.

Причины использовать SSL

Использование ssl предотвращает атаки MITM , это не означает, что используемый вами cdn не обращает внимания на контент, который он обслуживает, для вас. Возможно, вам следует спросить себя, почему вы хотите зашифровать соединение.

Без SSL существует множество мест, где может произойти атака MITM:

Нет ssl, много возможных точек атаки

С гибким SSL - это устраняет большинство, но не все:

Гибкий SSL, только одна точка атаки

С полным SSL - все еще есть возможность атаки MITM:

Full ssl, одна точка атаки, но теперь сложнее

При использовании Full SSL (Strict) атака MITM теперь невозможна без взлома самого cloud-flare:

Полный SSL - атака невозможна

Если вы обеспокоены тем, что cloudflare может читать ваши данные - не используйте cloudflare .


5
Важно отметить, что даже при строгом SSL вы никогда не узнаете, взломан ли CloudFlare, если кто-то незаконно его не утечет. Если они скомпрометированы, они могут прочитать все .
Оли

3
Я действительно люблю их использование "АНБ" и печально известного смайлика АНБ.
Traubenfuchs
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.