¿Hay alguna desventaja en el "SSL flexible" de Cloudflare?

12

Cloudflare le permite servir su sitio a través de SSL sin tener que comprar e instalar un certificado de seguridad, un producto que llaman "SSL flexible" . (Actúan como un proxy y sirven su sitio a través de SSL desde sus servidores, mientras que la conexión de su servidor al suyo permanece sin cifrar).

Actualmente ofrecen SSL flexible de forma gratuita .

Con el anuncio de Google de que HTTPS es ahora una señal de clasificación , estoy considerando cambiar varios sitios a Cloudflare, comprar una cuenta Pro y activar su opción "SSL flexible", porque parece ser la forma más fácil de servir varios sitios a través de HTTPS sin tener que comprar y administrar múltiples certificados.

¿Hay alguna desventaja en el SSL flexible de Cloudflare?

Me siento cómodo usando Cloudflare como proxy: estoy más interesado en dos factores:

  1. La experiencia para los usuarios finales. (por ejemplo, ¿los visitantes verán advertencias de seguridad?)
  2. El nivel de seguridad ofrecido. (¿Suficiente para un blog simple, pero no para una tienda en línea porque pasarían los datos de la tarjeta de crédito de su servidor al suyo sin cifrar?)
seo security https cloudflare Mella
fuente
Si la seguridad es una preocupación, probablemente usaría un certificado SSL de nivel 01 gratuito de StartSSL. Para cualquier otra cosa (como dar una impresión a Google de que la conexión es segura, especialmente a la luz del hecho de que el uso de SSL ahora es un factor de clasificación), el SSL flexible debería ser una opción fácil y económica.
Rana Prathap
En mi opinión, una desventaja es el precio. Un certificado SSL barato le cuesta 5 $ por año.
Ka Rl
@KaRl este es un servicio gratuito, por lo que el precio no debe considerarse una desventaja.
Andrew Lott

Respuestas:

7

SSL flexible NO es completamente seguro

El SSL flexible de CloudFlare proporciona cifrado del usuario a los servidores de CloudFlare, pero no de sus servidores al servidor del sitio web. Esto evita la molestia de instalar (y renovar) un certificado en su servidor web, pero significa que el tráfico se envía texto sin formato durante la segunda mitad del viaje.

SSL flexible de Cloudflare

Los beneficios de esta configuración son:

  • Fácil de comenzar, no es necesario instalar certificados en su servidor web y hacer frente a las renovaciones periódicas
  • Proporciona protección contra escuchas ilegales en conexiones WiFi inseguras (cibercafés) y otros en su red local o en el nivel de ISP.
  • Los usuarios verán un candado verde en su navegador y no deberían recibir ninguna advertencia de seguridad

Los problemas inherentes son:

  • El tráfico de CloudFlare a su servidor no está cifrado, lo que significa que los ISP mayoristas, los proveedores troncales y la NSA aún pueden leer todas las solicitudes en texto sin formato
  • El tráfico está sujeto a ataques man-in-the-middle (MITM) donde otro servidor puede hacerse pasar por su servidor y recibir su tráfico (aunque este problema también se aplica a la configuración SSL "Completa", necesitará el modo "Estricto" para evitar esta).
  • Debido a lo anterior, proporciona una sensación de seguridad engañosa y falsa a los visitantes de su sitio web (pero esa es una queja no apropiada para este lugar)

Comparación de la configuración SSL

Configuración SSL de CloudFlare

No es común encriptar el tráfico entre un servidor proxy y un servidor de fondo cuando el tráfico se envía a través de una red privada y segura. Pero en este caso, está enrutando el tráfico a través de Internet público.

CloudFlare recomienda que también instale un certificado en su servidor web para un verdadero cifrado de extremo a extremo, e incluso proporcione certificados gratuitos a través de su panel de control para hacerlo (si no desea instalar un certificado autofirmado). De la discusión en el Blog CloudFlare :

En realidad, proporcionaremos un certificado gratuito que está anclado al dominio que puede instalar en su servidor para la criptografía de extremo a extremo.

Ya sea que se use SSL "Completo" o "Flexible", sus usuarios no deberían ver una ventana emergente u otras advertencias.

jeffatrackaid
fuente
Gracias Jeff. Mi entendimiento es que flexible SSL hace negar la necesidad de un certificado - no está obligado a instalar uno en su propio servidor, así que no estoy seguro de la primera parte de su respuesta es correcta. Parece que Cloudflare solo dice que, para los clientes que lo deseen, ofrecerán un certificado gratuito como un extra opcional para permitir el cifrado completo de extremo a extremo en lugar de la configuración SSL flexible donde solo se encripta la mitad del viaje . Si puede editar su respuesta para reflejar que con gusto la marcaré como aceptada. Si he malinterpretado, ¡avísame!
Nick
1
He actualizado mi respuesta. En realidad, hay 2 ubicaciones en las que se puede usar SSL. FlexibleSSL niega la necesidad de un certificado SSL en el servidor de origen. CloudFlare proporcionará el certificado SSL de forma gratuita en sus servidores de almacenamiento en caché. Entonces, en realidad, ambos tenemos razón (o ambos estamos equivocados dependiendo de su perspectiva).
jeffatrackaid
1
Jeff, sugerí una edición de tu respuesta para agregar algunos diagramas, y terminé reestructurando toda la respuesta para que sea más clara y fluya mejor. Espero que esté bien y espero no haber cambiado tu intención.
Simon East
1
@SimonEast Edición superlativa, una de las mejores que he visto aquí. Por supuesto, fue bueno recibir una respuesta directamente de Damon en CloudFlare también.
dan
3

Este enlace explica cuáles son las opciones de SSL de CloudFlare .

SSL flexible, al menos en este momento, no se cifra completamente en su servidor. El tema que Matthew está discutiendo en el blog ("En realidad, proporcionaremos un certificado gratuito que está anclado al dominio que puede instalar en su servidor para criptografía de extremo a extremo ... de forma gratuita") no es t disponible por el momento.

Ciertamente actualizaremos el contenido para reflejar los cambios cuando implementemos la opción SSL gratuita.

damoncloudflare
fuente
Gracias por esto, Damon. Visité esa página de CloudFlare antes de publicar mi pregunta, pero por alguna razón solo contenía la imagen en ese momento, no el texto a continuación con la advertencia sobre SSL flexible. Sin embargo, ayuda a aclarar las cosas, gracias.
Nick
-1

Hay una gran desventaja de SEO. Google dijo que favorece los sitios SSL pero que el certificado debe ser de 2048 bits. El "SSL flexible" de CloudFlare no es de 2048 bits.

Alex
fuente
1
Actualmente se emiten como EC 256, que es un método de cifrado diferente al RSA 2048. Será al menos tan seguro y no tendrá ningún efecto en el SEO.
Andrew Lott
Sí, supongo que cambiaron esto ...
Alex