Cloudflare connaît-il le contenu décrypté lors de l'utilisation d'une connexion https?

11

CloudFlare fournit un support SSL. Cependant, si un visiteur visite un site Web protégé par CloudFlare, CloudFlare est-il en mesure de connaître les données simples transférées lors de cette visite?

Il existe quelques options SSL:

  • SSL flexible
  • SSL complet
  • SSL complet (strict)

Je sais que pour SSL flexible, CloudFlare connaît probablement les données simples, car les données ont été déchiffrées par CloudFlare et envoyées au serveur Web de manière non sécurisée.

Qu'en est-il de Full SSL et Full SSL (strict)? CloudFlare décrypte-t-il d'abord puis crypte-t-il à nouveau pour envoyer au serveur Web?

https cloudflare xuhdev
la source
Leur donnez-vous un certificat pour votre domaine? Si vous devez leur donner un certificat, supposez qu'ils peuvent voir et modifier tout ce qui est communiqué. Sans certificat, ils ne peuvent pas voir ou modifier ce qui est envoyé, mais ils ne peuvent rien mettre en cache. Sans mise en cache, vous n'obtenez que certaines parties des avantages offerts par un CDN.
kasperd
Non, je ne leur ai pas donné le certificat. Si CloudFlare ne peut rien mettre en cache, il agit comme un proxy, est-ce correct? Ce que je ne comprends pas, c'est que dans le Full SSLcas, pourquoi le client Web fait toujours confiance au certificat SSL même lorsque le certificat du serveur est auto-signé (dans mon cas, le site est signé par COMODO), si CloudFlare agit comme un proxy .
xuhdev
Cela n'a pas de sens. L'auto-signature n'est pas la même que celle signée par Comodo.
kasperd
@ AD7six S'il s'agit de deux connexions SSL différentes, elles doivent également avoir un certificat. Pour que ce certificat SSL soit émis, le propriétaire du domaine doit d'abord l'approuver. Et xuhdev a dit que cela ne s'était pas produit.
kasperd
2
@ AD7six Lorsque CA et CDN sont deux entités distinctes, il est un peu plus évident que vous demandez un certificat à une entité et que vous le remettez à l'autre. Lorsque les deux sont une seule entité, il peut devenir moins évident pour le propriétaire du domaine à quoi il donne son consentement. Je dirais qu'il incombe à Cloudflare de dire au propriétaire du domaine à quoi il donne son consentement. Il semble que cela n'ait pas été suffisamment clair pour que xuhdev s'en rende compte, car il n'était apparemment pas au courant que Cloudflare avait un certificat. Je ne sais pas si cela signifie que Cloudflare n'a pas expliqué assez clairement ou si xuhdev n'y a pas prêté attention
kasperd

Réponses:

13

Se référer à la documentation

Les documents de Cloudflare sont assez clairs à ce sujet. Évidemment (cela devrait être évident) ssl flexible signifie que la connexion de cloudflare à l'origine n'est pas cryptée.

Image SSL de Cloudflare

Pour ssl complet (permutation), ce qui suit s'applique:

Crypte la connexion entre les visiteurs de votre site et CloudFlare, et de CloudFlare à votre serveur.

Ce sont deux connexions différentes , donc la réponse à "Cloudflare connaît-il le contenu décrypté?" est: "Oui".

Notez que pour les certificats SSL EV ou OV - vous devez les télécharger sur cloudflare pour que les utilisateurs finaux les voient , ce sont toujours 2 connexions - pas le cryptage de bout en bout.

Raisons d'utiliser SSL

L'utilisation de ssl empêche les attaques MITM , cela ne signifie pas que le cdn que vous utilisez est inconscient du contenu qu'il sert, pour vous. Vous devriez peut-être vous demander pourquoi vous souhaitez crypter la connexion.

Sans SSL, il existe de nombreux endroits où une attaque MITM peut se produire:

Pas de SSL, beaucoup de points d'attaque possibles

Avec SSL flexible - qui élimine la plupart d'entre eux, mais pas tous:

SSL flexible, un seul point d'attaque maintenant

Avec Full SSL - il y a toujours la possibilité d'une attaque MITM:

SSL complet, un point d'attaque mais maintenant plus difficile

Avec Full SSL (Strict) - une attaque MITM n'est plus possible sans que Cloudflare lui-même soit compromis:

SSL complet - aucune attaque possible

Si vous pensez que cloudflare peut lire vos données, n'utilisez pas cloudflare .

AD7six
la source
5
Il est important de noter que même avec SSL strict, vous ne saurez jamais si CloudFlare est compromis à moins que quelqu'un ne le révèle illégalement. S'ils sont compromis, ils peuvent tout lire .
Oli
3
J'aime vraiment leur utilisation de "NSA" et le tristement célèbre smiley de la NSA.
Traubenfuchs