Existem desvantagens no "SSL flexível" do Cloudflare?

O Cloudflare permite que você sirva seu site através de SSL sem ter que comprar e instalar um certificado de segurança, um produto que eles chamam de "SSL flexível" . (Eles atuam como um proxy e veiculam seu site através de SSL de seus servidores, enquanto a conexão do servidor ao deles permanece sem criptografia.)

Atualmente, eles oferecem SSL flexível gratuitamente .

Com o anúncio do Google de que o HTTPS agora é um sinal de classificação , estou pensando em mudar vários sites para o Cloudflare, comprar uma conta Pro e ativar a opção "SSL flexível", porque parece ser a maneira mais fácil de servir vários sites por HTTPS sem ter que comprar e gerenciar vários certificados.

Existe alguma desvantagem no SSL flexível do Cloudflare?

Estou confortável em usar o Cloudflare como proxy - estou mais interessado em dois fatores:

1. A experiência para usuários finais. (por exemplo, os visitantes verão avisos de segurança?)
2. O nível de segurança oferecido. (O suficiente para um blog simples, mas não para uma loja on-line, porque eles passariam os dados do cartão de crédito do servidor para o seu sem criptografia?)

SSL flexível NÃO é totalmente seguro

O SSL flexível da CloudFlare fornece criptografia do usuário para os servidores da CloudFlare, mas não de seus servidores para o servidor do site. Isso evita o incômodo de instalar (e renovar) um certificado no servidor da Web, mas significa que o tráfego é enviado em texto sem formatação na segunda metade da jornada.

Os benefícios dessa configuração são:

• Fácil de começar, sem necessidade de instalar certificados no servidor da Web e lidar com renovações periódicas
• Oferece proteção contra escutas em conexões Wi-Fi inseguras (cibercafés) e outras na rede local ou no nível do provedor.
• Os usuários verão um cadeado verde no navegador e não devem receber nenhum aviso de segurança

Os problemas inerentes são:

• O tráfego do CloudFlare para o servidor não é criptografado, o que significa ISPs atacadistas, provedores de troncos e a NSA ainda pode ler todas as solicitações em texto sem formatação
• O tráfego está sujeito a ataques man-in-the-middle (MITM), onde outro servidor pode se passar por seu servidor e receber seu tráfego (embora esse problema também se aplique à configuração SSL "Cheia"), você precisará do modo "Estrito" para evitar esta).
• Por causa do exposto, ele fornece uma sensação enganosa e falsa de segurança aos visitantes do seu site (mas isso não é apropriado para este local)

Comparação das configurações de SSL

Não criptografar o tráfego entre um servidor proxy e back-end é comum quando o tráfego é enviado por uma rede privada segura. Mas, neste caso, você está roteando tráfego pela Internet pública.

O CloudFlare recomenda que você também instale um certificado no servidor da Web para obter a verdadeira criptografia de ponta a ponta e até forneça certificados gratuitos por meio do painel deles (se você não quiser instalar um certificado autoassinado). Da discussão no Blog CloudFlare :

Na verdade, forneceremos um certificado gratuito fixado no domínio que você pode instalar no servidor para criptografia de ponta a ponta.

Quer o SSL "Completo" ou "Flexível" seja usado, seus usuários não deverão ver um pop-up ou outros avisos.

Este link explica quais são as opções SSL do CloudFlare .

O SSL flexível, pelo menos no momento, não é totalmente criptografado no seu servidor. O problema discutido no blog por Matthew ("Na verdade, forneceremos um certificado gratuito fixado no domínio que você pode instalar no servidor para criptografia ponta a ponta .... de graça") não é ' t disponível ainda.

Certamente atualizaremos o conteúdo para refletir quaisquer alterações quando lançarmos a opção SSL gratuita.

Há uma grande desvantagem de SEO. O Google disse que favorece sites SSL, mas o certificado deve ser o "SSL flexível" de 2048 bits do CloudFlare não é 2048 bits.