¿Cloudflare conoce el contenido descifrado cuando usa una conexión https?

11

CloudFlare proporciona soporte de SSL. Sin embargo, si un visitante visita un sitio web protegido por CloudFlare, ¿CloudFlare puede conocer los datos simples transferidos durante esta visita?

Hay algunas opciones de SSL:

  • SSL flexible
  • SSL completo
  • SSL completo (estricto)

Sé que para SSL flexible, CloudFlare probablemente conoce los datos simples, ya que CloudFlare ha descifrado los datos y los ha enviado al servidor web de forma insegura.

¿Qué pasa con Full SSL y Full SSL (estricto)? ¿CloudFlare descifra primero y luego vuelve a cifrar para enviar al servidor web?

https cloudflare xuhdev
fuente
¿Les está dando un certificado para su dominio? Si necesita darles un certificado, suponga que pueden ver y modificar todo lo que se está comunicando. Sin un certificado no pueden ver ni modificar lo que se está enviando, pero tampoco pueden almacenar en caché nada. Sin el almacenamiento en caché, solo obtiene algunas partes de los beneficios que ofrece un CDN.
kasperd
No, no les di el certificado. Si CloudFlare no puede almacenar en caché nada, actúa como un proxy, ¿es correcto? Lo que no entiendo es que, en el Full SSLcaso, por qué el cliente web aún confía en el certificado SSL incluso cuando el certificado del servidor está autofirmado (en mi caso, el sitio está firmado por COMODO), si CloudFlare actúa como un proxy .
xuhdev
Eso no tiene sentido. Autofirmado no es lo mismo que firmado por Comodo.
kasperd
@ AD7six Si se trata de dos conexiones SSL diferentes, también deben tener un certificado. Para que se emita ese certificado SSL, el propietario del dominio debe aprobarlo primero. Y xuhdev dijo que eso no ha sucedido.
kasperd
2
@ AD7six Cuando CA y CDN son dos entidades separadas, es un poco más obvio que solicita un certificado de una entidad y se lo entrega a la otra. Cuando las dos son una entidad, puede ser menos obvio para el propietario del dominio a qué están dando su consentimiento. Yo diría que la responsabilidad de Cloudflare es decirle al propietario del dominio a qué están dando su consentimiento. Parece que esto no fue lo suficientemente claro como para que xuhdev se dé cuenta, ya que aparentemente no sabía que Cloudflare tenía un certificado. No sé si esto significa que Cloudflare no explicó con suficiente claridad o si xuhdev no prestó atención
kasperd

Respuestas:

13

Consulte la documentación

Los documentos de Cloudflare son bastante claros al respecto. Obviamente (debería ser obvio) SSL flexible significa que la conexión de cloudflare al origen no está encriptada.

Imagen ssl de Cloudflare

Para el SSL completo (permutación) se aplica lo siguiente:

Cifra la conexión entre los visitantes de su sitio y CloudFlare, y de CloudFlare a su servidor.

Son dos conexiones diferentes , entonces la respuesta a "¿Cloudflare conoce el contenido descifrado?" Es sí".

Tenga en cuenta que para los certificados SSL EV u OV: debe cargarlos en Cloudflare para que los usuarios finales los vean , todavía son 2 conexiones, no cifrado de extremo a extremo.

Razones para usar SSL

El uso de SSL evita los ataques MITM , no significa que el cdn que está utilizando no tenga en cuenta el contenido que está sirviendo, para usted. Tal vez debería preguntarse por qué desea cifrar la conexión.

Sin SSL, hay muchos lugares donde puede ocurrir un ataque MITM:

Sin SSL, muchos puntos de ataque posibles

Con SSL flexible, que elimina la mayoría, pero no todos:

SSL flexible, solo un punto de ataque ahora

Con SSL completo: todavía existe la posibilidad de un ataque MITM:

SSL completo, un punto de ataque pero ahora más difícil

Con SSL completo (estricto): un ataque MITM ahora no es posible sin que el propio cloudflare se vea comprometido:

SSL completo: no es posible el ataque

Si le preocupa que cloudflare pueda leer sus datos, no use cloudflare .

AD7six
fuente
55
Es importante tener en cuenta que incluso con SSL estricto, nunca sabrá si CloudFlare está comprometido a menos que alguien lo filtre ilegalmente. Si están comprometidos, pueden leer todo .
Oli
3
Realmente amo su uso de "NSA" y el infame smiley de la NSA.
Traubenfuchs