Existem desvantagens no "SSL flexível" do Cloudflare?

12

O Cloudflare permite que você sirva seu site através de SSL sem ter que comprar e instalar um certificado de segurança, um produto que eles chamam de "SSL flexível" . (Eles atuam como um proxy e veiculam seu site através de SSL de seus servidores, enquanto a conexão do servidor ao deles permanece sem criptografia.)

Atualmente, eles oferecem SSL flexível gratuitamente .

Com o anúncio do Google de que o HTTPS agora é um sinal de classificação , estou pensando em mudar vários sites para o Cloudflare, comprar uma conta Pro e ativar a opção "SSL flexível", porque parece ser a maneira mais fácil de servir vários sites por HTTPS sem ter que comprar e gerenciar vários certificados.

Existe alguma desvantagem no SSL flexível do Cloudflare?

Estou confortável em usar o Cloudflare como proxy - estou mais interessado em dois fatores:

  1. A experiência para usuários finais. (por exemplo, os visitantes verão avisos de segurança?)
  2. O nível de segurança oferecido. (O suficiente para um blog simples, mas não para uma loja on-line, porque eles passariam os dados do cartão de crédito do servidor para o seu sem criptografia?)
usuario
fonte
Se a segurança é uma preocupação, eu provavelmente usaria um certificado SSL de nível 01 gratuito do StartSSL. Para qualquer outra coisa (como dar uma impressão ao Google de que a conexão é segura, especialmente tendo em vista que o uso do SSL agora é um fator de classificação), o SSL flexível deve ser uma opção fácil e barata.
Rana Prathap
Na minha opinião, uma desvantagem é o preço. Um certificado SSL barato custa US $ 5 por ano.
Ka Rl
@KaRl, este é um serviço gratuito, portanto o preço não deve ser considerado uma desvantagem.
Andrew Lott

Respostas:

7

SSL flexível NÃO é totalmente seguro

O SSL flexível da CloudFlare fornece criptografia do usuário para os servidores da CloudFlare, mas não de seus servidores para o servidor do site. Isso evita o incômodo de instalar (e renovar) um certificado no servidor da Web, mas significa que o tráfego é enviado em texto sem formatação na segunda metade da jornada.

SSL flexível Cloudflare

Os benefícios dessa configuração são:

  • Fácil de começar, sem necessidade de instalar certificados no servidor da Web e lidar com renovações periódicas
  • Oferece proteção contra escutas em conexões Wi-Fi inseguras (cibercafés) e outras na rede local ou no nível do provedor.
  • Os usuários verão um cadeado verde no navegador e não devem receber nenhum aviso de segurança

Os problemas inerentes são:

  • O tráfego do CloudFlare para o servidor não é criptografado, o que significa ISPs atacadistas, provedores de troncos e a NSA ainda pode ler todas as solicitações em texto sem formatação
  • O tráfego está sujeito a ataques man-in-the-middle (MITM), onde outro servidor pode se passar por seu servidor e receber seu tráfego (embora esse problema também se aplique à configuração SSL "Cheia"), você precisará do modo "Estrito" para evitar esta).
  • Por causa do exposto, ele fornece uma sensação enganosa e falsa de segurança aos visitantes do seu site (mas isso não é apropriado para este local)

Comparação das configurações de SSL

Configurações SSL do CloudFlare

Não criptografar o tráfego entre um servidor proxy e back-end é comum quando o tráfego é enviado por uma rede privada segura. Mas, neste caso, você está roteando tráfego pela Internet pública.

O CloudFlare recomenda que você também instale um certificado no servidor da Web para obter a verdadeira criptografia de ponta a ponta e até forneça certificados gratuitos por meio do painel deles (se você não quiser instalar um certificado autoassinado). Da discussão no Blog CloudFlare :

Na verdade, forneceremos um certificado gratuito fixado no domínio que você pode instalar no servidor para criptografia de ponta a ponta.

Quer o SSL "Completo" ou "Flexível" seja usado, seus usuários não deverão ver um pop-up ou outros avisos.

jeffatrackaid
fonte
Obrigado Jeff. Meu entendimento é que SSL flexível faz negar a necessidade de um certificado - você não é obrigado a instalar um em seu próprio servidor, então eu não tenho certeza que a primeira parte da sua resposta está correta. Parece que o Cloudflare está apenas dizendo que, para os clientes que desejam, oferecerão um certificado gratuito como um extra opcional para habilitar a criptografia completa de ponta a ponta, em vez da configuração SSL flexível, na qual apenas metade da jornada é criptografada . Se você conseguir editar sua resposta para refletir que eu a marcarei como aceita. Se eu interpretei errado, me avise!
Nick
1
Eu atualizei minha resposta. Na verdade, existem 2 locais onde o SSL pode ser usado. O FlexibleSSL nega a necessidade de um certificado SSL no servidor de origem. A CloudFlare fornecerá o certificado SSL gratuitamente em seus servidores de cache. Então, na verdade, estamos ambos certos (ou ambos errados, dependendo da sua perspectiva).
jeffatrackaid
1
Jeff, sugeri uma edição da sua resposta para adicionar alguns diagramas e acabei reestruturando toda a resposta para torná-la mais clara e fluir melhor. Espero que esteja tudo bem e espero não ter mudado sua intenção.
Simon East
1
Edição Superlative do @SimonEast, uma das melhores que eu já vi aqui. Claro que foi bom receber uma resposta diretamente de Damon no CloudFlare também.
dan
3

Este link explica quais são as opções SSL do CloudFlare .

O SSL flexível, pelo menos no momento, não é totalmente criptografado no seu servidor. O problema discutido no blog por Matthew ("Na verdade, forneceremos um certificado gratuito fixado no domínio que você pode instalar no servidor para criptografia ponta a ponta .... de graça") não é ' t disponível ainda.

Certamente atualizaremos o conteúdo para refletir quaisquer alterações quando lançarmos a opção SSL gratuita.

damoncloudflare
fonte
Obrigado por isso, Damon. Visitei a página do CloudFlare antes de postar minha pergunta, mas por algum motivo, ela continha apenas a imagem no momento - não o texto abaixo com o aviso sobre SSL flexível. Mas ajuda a esclarecer as coisas - obrigado.
Nick
-1

Há uma grande desvantagem de SEO. O Google disse que favorece sites SSL, mas o certificado deve ser o "SSL flexível" de 2048 bits do CloudFlare não é 2048 bits.

Alex
fonte
1
Atualmente, eles estão sendo emitidos como EC 256, que é um método de criptografia diferente do RSA 2048. Ele será pelo menos tão seguro e não terá nenhum efeito no SEO.
Andrew Lott
Sim, acho que eles mudaram isso ...
Alex