Apakah ada kerugian untuk “Flexible SSL” Cloudflare?

12

Cloudflare memungkinkan Anda melayani situs Anda melalui SSL tanpa harus membeli dan menginstal sertifikat keamanan, produk yang mereka sebut "SSL Fleksibel" . (Mereka bertindak sebagai proxy dan melayani situs Anda melalui SSL dari server mereka, sementara koneksi dari server Anda ke server mereka tetap tidak terenkripsi.)

Mereka saat ini menawarkan SSL Fleksibel secara gratis .

Dengan pengumuman Google bahwa HTTPS sekarang menjadi sinyal peringkat , saya mempertimbangkan untuk mengalihkan beberapa situs ke Cloudflare, membeli akun Pro, dan mengaktifkan opsi "SSL Fleksibel", karena sepertinya ini adalah cara termudah untuk melayani beberapa situs melalui HTTPS tanpa harus membeli dan mengelola beberapa sertifikat.

Apakah ada kerugian untuk SSL Fleksibel Cloudflare?

Saya nyaman menggunakan Cloudflare sebagai proxy - Saya lebih tertarik pada dua faktor:

  1. Pengalaman bagi pengguna akhir. (mis. Akankah pengunjung melihat peringatan keamanan?)
  2. Tingkat keamanan yang ditawarkan. (Cukup untuk blog sederhana, tetapi tidak untuk toko online karena mereka akan meneruskan data kartu kredit dari server mereka ke server Anda yang tidak dienkripsi?)
seo  security  https  cloudflare 
Nick
sumber
Jika keamanan menjadi perhatian, saya mungkin akan menggunakan sertifikat SSL level 01 gratis StartSSL. Untuk hal lain (seperti memberi kesan kepada Google bahwa koneksi aman, terutama mengingat fakta bahwa penggunaan SSL sekarang menjadi faktor peringkat) SSL fleksibel harus menjadi pilihan yang mudah dan murah.
Rana Prathap
Menurut saya, satu kelemahannya adalah harga. Sertifikat SSL murah dikenakan biaya $ 5 per tahun.
Ka Rl
@ KaRl ini adalah layanan gratis, jadi harganya tidak boleh dianggap merugikan.
Andrew Lott

Jawaban:

7

SSL fleksibel TIDAK sepenuhnya aman

CloudFlare's SSL Fleksibel menyediakan enkripsi dari pengguna ke server CloudFlare, tetapi tidak dari server mereka ke server situs web. Ini menghindari kerumitan menginstal (dan memperbarui) sertifikat pada server web Anda, tetapi lalu lintas berarti dikirim teks biasa selama paruh kedua perjalanan.

Cloudflare Fleksibel SSL

Manfaat dari pengaturan ini adalah:

  • Mudah untuk memulai, tidak perlu menginstal sertifikat di server web Anda dan berurusan dengan pembaruan berkala
  • Memberikan perlindungan dari menguping pada koneksi WiFi yang tidak aman (kafe internet) dan lainnya di jaringan lokal Anda atau di tingkat ISP.
  • Pengguna akan melihat gembok hijau di browser mereka dan tidak akan menerima peringatan keamanan apa pun

Masalah yang melekat adalah:

  • Lalu lintas dari CloudFlare ke server Anda tidak dienkripsi, artinya ISP grosir, penyedia trunk, dan NSA masih dapat membaca semua permintaan dalam teks biasa
  • Lalu lintas adalah serangan man-in-the-middle (MITM) di mana server lain dapat menyamar sebagai server Anda dan menerima lalu lintasnya (meskipun masalah ini juga berlaku untuk pengaturan SSL "Penuh", Anda akan memerlukan mode "Ketat" untuk menghindari ini).
  • Karena hal di atas, ini memberikan rasa aman yang menyesatkan dan salah bagi pengunjung situs web Anda (tetapi kata-kata kasar tidak sesuai untuk tempat ini)

Perbandingan pengaturan SSL

Pengaturan CloudFlare SSL

Tidak mengenkripsi lalu lintas antara proxy dan server backend adalah umum ketika lalu lintas dikirim melalui jaringan pribadi yang aman. Namun dalam hal ini, Anda merutekan lalu lintas melalui internet publik.

CloudFlare merekomendasikan agar Anda juga menginstal sertifikat di server web Anda untuk enkripsi ujung ke ujung yang sebenarnya, dan bahkan memberikan sertifikat gratis melalui dasbor mereka untuk melakukannya (jika Anda tidak ingin menginstal sertifikat yang ditandatangani sendiri). Dari diskusi di CloudFlare Blog :

Sebenarnya, kami akan memberikan sertifikat gratis yang disematkan ke domain yang dapat Anda instal di server Anda untuk kripto end-to-end.

Apakah SSL "Penuh" atau "Fleksibel" digunakan, pengguna Anda seharusnya tidak melihat pop-up atau peringatan lainnya.

jeffatrackaid
sumber
Terima kasih, Jeff. Pemahaman saya adalah bahwa SSL Fleksibel tidak meniadakan kebutuhan akan sertifikat - Anda tidak diwajibkan untuk menginstalnya di server Anda sendiri, jadi saya tidak yakin bagian pertama dari jawaban Anda benar. Tampaknya Cloudflare hanya mengatakan bahwa, untuk pelanggan yang menginginkannya, mereka akan menawarkan sertifikat gratis sebagai tambahan opsional untuk mengaktifkan enkripsi ujung-ke-ujung penuh alih-alih pengaturan SSL Fleksibel di mana hanya setengah dari perjalanan dienkripsi. . Jika Anda dapat mengedit jawaban Anda untuk mencerminkan bahwa saya akan dengan senang hati menandainya sebagai diterima. Jika saya salah menafsirkan, beri tahu saya!
Nick
1
Saya telah memperbarui jawaban saya. Sebenarnya ada 2 lokasi yang dapat digunakan SSL. FlexibleSSL meniadakan kebutuhan sertifikat SSL di server asal. CloudFlare akan memberikan sertifikat SSL secara gratis di server caching mereka. Jadi kami sebenarnya benar (atau keduanya salah, tergantung pada perspektif Anda).
jeffatrackaid
1
Jeff, saya menyarankan edit untuk jawaban Anda untuk menambahkan beberapa diagram, dan akhirnya merestrukturisasi seluruh jawaban untuk membuatnya lebih jelas dan mengalir lebih baik. Saya harap tidak apa-apa dan saya harap saya tidak mengubah niat Anda.
Simon East
1
@SimonEast Superlative mengedit, salah satu yang terbaik yang pernah saya lihat di sini. Tentu saja itu baik untuk menerima jawaban langsung dari Damon di CloudFlare juga.
dan
3

Tautan ini menjelaskan apa saja pilihan CloudFlare SSL .

SSL fleksibel, setidaknya saat ini, tidak sepenuhnya mengenkripsi ke server Anda. Masalah yang sedang dibahas di blog oleh Matthew ("Sebenarnya, kami akan memberikan sertifikat gratis yang disematkan ke domain yang dapat Anda instal di server Anda untuk crypto end-to-end .... gratis") bukan t belum tersedia.

Kami pasti akan memperbarui konten untuk mencerminkan perubahan apa pun ketika kami meluncurkan opsi SSL gratis.

damoncloudflare
sumber
Terima kasih untuk ini, Damon. Saya mengunjungi halaman CloudFlare sebelum memposting pertanyaan saya, tetapi karena alasan tertentu hanya berisi gambar pada saat itu - bukan teks di bawah ini dengan peringatan tentang SSL Fleksibel. Ini membantu mengklarifikasi hal-hal - terima kasih.
Nick
-1

Ada satu kelemahan SEO besar. Google mengatakan bahwa mereka menyukai situs SSL tetapi sertifikatnya harus 2048 bit "SSL fleksibel" CloudFlare bukan 2048 bit.

Alex
sumber
1
Ini saat ini dikeluarkan sebagai EC 256, yang merupakan metode enkripsi yang berbeda dari RSA 2048. Setidaknya akan aman dan tidak akan berdampak pada SEO.
Andrew Lott
Ya, tebak mereka mengubah ini ...
Alex
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.