O cloudflare conhece o conteúdo descriptografado ao usar uma conexão https?

11

CloudFlare fornece suporte SSL. No entanto, se um visitante visitar um site protegido pelo CloudFlare, o CloudFlare poderá conhecer os dados simples transferidos durante essa visita?

Existem algumas opções de SSL:

  • SSL flexível
  • SSL completo
  • SSL completo (estrito)

Eu sei que, para o SSL flexível, o CloudFlare provavelmente conhece os dados simples, pois os dados foram descriptografados pelo CloudFlare e enviados para o servidor da Web de maneira insegura.

E o SSL completo e o SSL completo (estrito)? O CloudFlare descriptografa primeiro e depois criptografa novamente para enviar ao servidor da web?

https cloudflare xuhdev
fonte
Você está dando a eles um certificado para o seu domínio? Se você precisar fornecer um certificado, assuma que eles possam ver e modificar tudo o que está sendo comunicado. Sem um certificado, eles não podem ver ou modificar o que está sendo enviado, mas também não podem armazenar nada em cache. Sem o armazenamento em cache, você obtém apenas algumas partes dos benefícios oferecidos por uma CDN.
kasperd
Não, não lhes dei o certificado. Se o CloudFlare não pode armazenar nada em cache, ele age como um proxy, está correto? O que não entendo é que, no Full SSLcaso, por que o cliente da Web ainda confia no certificado SSL, mesmo quando o certificado do servidor é autoassinado (no meu caso, o site mostra que o COMODO é assinado), se o CloudFlare age como um proxy .
Xuhdev 28/01
Isso não faz sentido. Autoassinado não é o mesmo que o assinado pela Comodo.
kasperd
@ AD7six Se houver duas conexões SSL diferentes, eles também precisam ter um certificado. Para que o certificado SSL seja emitido, o proprietário do domínio deve aprová-lo primeiro. E xuhdev disse que isso não aconteceu.
kasperd
2
@ AD7six Quando CA e CDN são duas entidades separadas, é um pouco mais óbvio que você está solicitando um certificado de uma entidade e entregando-o à outra. Quando as duas são uma entidade, pode se tornar menos óbvio para o proprietário do domínio o que está dando consentimento. Eu diria que o ônus está no Cloudflare para informar ao proprietário do domínio o que eles estão dando consentimento. Parece que isso não foi esclarecido o suficiente para o xuhdev perceber, pois ele aparentemente não sabia que o Cloudflare tinha um certificado. Eu não sei se este meio Cloudflare não explicar claramente o suficiente ou se xuhdev não prestou atenção
kasperd

Respostas:

13

Consulte a documentação

Os documentos do Cloudflare são bastante claros sobre isso. Obviamente (deve ser óbvio) SSL flexível significa que a conexão do cloudflare com a origem não é criptografada.

Imagem ssl do Cloudflare

Para SSL completo (permutação), o seguinte se aplica:

Criptografa a conexão entre os visitantes do site e o CloudFlare e do CloudFlare para o seu servidor.

São duas conexões diferentes . Portanto, a resposta para "O cloudflare conhece o conteúdo descriptografado?" é sim".

Observe que, para certificados SSL EV ou OV - você precisa carregá-los no cloudflare para que os usuários finais os vejam , ainda são duas conexões - não criptografia de ponta a ponta.

Razões para usar SSL

O uso do ssl evita ataques MITM , isso não significa que o CDN que você está usando desconhece o conteúdo que está servindo para você. Talvez você deva se perguntar por que deseja criptografar a conexão.

Sem SSL, há muitos lugares em que um ataque MITM pode ocorrer:

Sem ssl, muitos pontos de ataque possíveis

Com SSL flexível - que elimina a maioria, mas não todas:

SSL flexível, apenas um ponto de ataque agora

Com SSL completo - ainda há a possibilidade de um ataque MITM:

SSL completo, um ponto de ataque, mas agora mais difícil

Com SSL completo (estrito) - um ataque MITM agora não é possível sem o próprio cloudflare ser comprometido:

SSL completo - nenhum ataque possível

Se você está preocupado com o fato de o cloudflare poder ler seus dados , não use o cloudflare .

AD7six
fonte
5
É importante observar que, mesmo com SSL estrito, você nunca saberá se o CloudFlare está comprometido, a menos que alguém o vaze ilegalmente. Se eles estão comprometidos, eles podem ler tudo .
Oli
3
Eu realmente amo o uso de "NSA" e o infame smiley da NSA.
Traubenfuchs