Чи є якісь недоліки у програмі Cloudflare "гнучкий SSL"?

Cloudflare дозволяє обслуговувати ваш сайт через SSL, не купуючи та встановлюючи сертифікат безпеки, продукт, який вони називають "гнучкий SSL" . (Вони виконують функції проксі-сервера і обслуговують ваш сайт через SSL зі своїх серверів, тоді як з'єднання від вашого сервера до їхнього залишається незашифрованим.)

В даний час вони пропонують гнучкий SSL безкоштовно .

Повідомляючи Google, що HTTPS тепер є рейтинговим сигналом , я розглядаю можливість переключення декількох сайтів на Cloudflare, придбання облікового запису Pro та ввімкнення їх опції "гнучкий SSL", оскільки це здається найпростішим способом обслуговування кількох сайтів через HTTPS без купувати та керувати кількома сертифікатами.

Чи є якийсь мінус у гнучкому SSL Cloudflare?

Мені зручно використовувати Cloudflare як проксі - мене більше цікавлять два фактори:

1. Досвід для кінцевих споживачів. (наприклад, чи побачать відвідувачі попередження про безпеку?)
2. Рівень пропонованої безпеки. (Досить для простого блогу, але не для інтернет-магазину, оскільки вони передаватимуть дані кредитної картки зі свого сервера на ваш незашифрований?)

Гнучка SSL НЕ повністю захищена

Гнучка SSL CloudFlare забезпечує шифрування від користувача до серверів CloudFlare, але не від їхніх серверів до сервера веб-сайтів. Це дозволяє уникнути клопоту встановити (і відновити) сертифікат на веб-сервері, але означає, що трафік надсилається звичайним текстом протягом 2-ї половини шляху.

Перевагами цієї установки є:

• Легко розпочати роботу, не потрібно встановлювати сертифікати на веб-сервері та працювати з періодичними оновленнями
• Забезпечує захист від підслуховування на небезпечних підключеннях Wi-Fi (Інтернет-кафе) та інших у вашій локальній мережі або на рівні провайдера.
• Користувачі побачать зелений замок у своєму браузері і не повинні отримувати попередження про безпеку

Притаманними проблемами є:

• Трафік від CloudFlare до вашого сервера не шифрується, що означає оптові Інтернет-провайдери, постачальники магістралей і АНБ все ще можуть читати всі запити в простому тексті
• Трафік підпадає під атаку "посеред" (MITM), коли інший сервер може себе представити вашому серверу та отримати його трафік (хоча ця проблема стосується також "Повної" настройки SSL, вам знадобиться режим "Строгий", щоб уникнути це).
• Через вищезазначене, він надає оманливим і помилковим почуттям безпеки відвідувачам вашого веб-сайту (але це непридатність для цього місця проведення)

Порівняння параметрів SSL

Не шифрування трафіку між проксі-сервером та серверним сервером є звичайним, коли трафік надсилається через приватну захищену мережу. Але в цьому випадку ви спрямовуєте трафік через загальнодоступний Інтернет.

CloudFlare рекомендує також встановити сертифікат на своєму веб-сервері для справжнього шифрування в кінці, і навіть надати безкоштовні сертифікати на їх панелі приладів (якщо ви не хочете встановлювати сертифікат, який підписав самостійно). З обговорення в блозі CloudFlare :

Насправді ми надамо безкоштовний сертифікат, закріплений на домені, який ви можете встановити на вашому сервері для криптовалюти.

Незалежно від того, використовується "Повна" або "Гнучка" SSL, ваші користувачі не повинні бачити спливаючих або інших попереджень.

Це посилання пояснює, що таке варіанти CloudFlare SSL .

Гнучка SSL, принаймні в цей час, не повністю шифрується на вашому сервері. Метью, що обговорюється в блозі ("Насправді, ми надамо безкоштовний сертифікат, закріплений на домені, який ви можете встановити на своєму сервері для цільової криптовалюти .... безкоштовно") t доступний поки що.

Ми, безумовно, оновлюємо вміст, щоб відображати будь-які зміни, коли ми розгортаємо безкоштовну опцію SSL.

Є один великий недолік SEO. Google заявив, що він надає перевагу сайтам SSL, але сертифікат повинен бути 2048 бітним . "Гнучка SSL" CloudFlare не 2048 біт.