Le «SSL flexible» de Cloudflare présente-t-il des inconvénients?

12

Cloudflare vous permet de servir votre site via SSL sans avoir à acheter et installer un certificat de sécurité, un produit qu'ils appellent «SSL flexible» . (Ils agissent comme un proxy et servent votre site via SSL à partir de leurs serveurs, tandis que la connexion de votre serveur au leur reste non chiffrée.)

Ils offrent actuellement gratuitement SSL flexible .

Avec l'annonce de Google que le HTTPS est maintenant un signal de classement , j'envisage de basculer plusieurs sites vers Cloudflare, d'acheter un compte Pro et d'activer leur option «SSL flexible», car cela semble être le moyen le plus simple de servir plusieurs sites via HTTPS sans avoir à acheter et gérer plusieurs certificats.

Y a-t-il un inconvénient au SSL flexible de Cloudflare?

Je suis à l'aise avec Cloudflare comme proxy - je suis plus intéressé par deux facteurs:

  1. L'expérience pour les utilisateurs finaux. (Par exemple, les visiteurs verront-ils des avertissements de sécurité?)
  2. Le niveau de sécurité offert. (Assez pour un blog simple, mais pas pour une boutique en ligne car ils transmettraient les données de carte de crédit de leur serveur au vôtre non cryptées?)
seo security https cloudflare pseudo
la source
Si la sécurité est un problème, j'utiliserais probablement un certificat SSL de niveau 01 gratuit de StartSSL. Pour toute autre chose (comme donner l'impression à Google que la connexion est sécurisée, en particulier compte tenu du fait que l'utilisation de SSL est désormais un facteur de classement), le SSL flexible devrait être une option facile et bon marché.
Rana Prathap
À mon avis, un inconvénient est le prix. Un certificat SSL bon marché vous coûte 5 $ par an.
Ka Rl
@KaRl c'est un service gratuit, donc le prix ne doit pas être considéré comme un inconvénient.
Andrew Lott

Réponses:

7

SSL flexible n'est PAS entièrement sécurisé

Le SSL flexible de CloudFlare fournit le chiffrement de l'utilisateur aux serveurs de CloudFlare, mais pas de leurs serveurs au serveur du site Web. Cela évite les tracas d'installer (et de renouveler) un certificat sur votre serveur Web, mais signifie que le trafic est envoyé en texte brut au cours de la 2e moitié du voyage.

SSL flexible Cloudflare

Les avantages de cette configuration sont les suivants:

  • Facile à démarrer, pas besoin d'installer de certificats sur votre serveur web et de gérer les renouvellements périodiques
  • Fournit une protection contre l'écoute sur les connexions WiFi non sécurisées (cybercafés) et autres sur votre réseau local ou au niveau du FAI.
  • Les utilisateurs verront un cadenas vert dans leur navigateur et ne devraient recevoir aucun avertissement de sécurité

Les problèmes inhérents sont:

  • Le trafic de CloudFlare vers votre serveur n'est pas chiffré, ce qui signifie que les FAI de gros, les fournisseurs de troncs et la NSA peuvent toujours lire toutes les demandes en texte brut
  • Le trafic est soumis à des attaques d'homme au milieu (MITM) où un autre serveur peut se faire passer pour votre serveur et recevoir son trafic (bien que ce problème s'applique également au paramètre SSL "Complet", vous aurez besoin du mode "Strict" pour éviter cette).
  • En raison de ce qui précède, il fournit un sentiment de sécurité trompeur et faux aux visiteurs de votre site Web (mais c'est une diatribe qui ne convient pas à ce lieu)

Comparaison des paramètres SSL

Paramètres SSL CloudFlare

Le non-chiffrement du trafic entre un serveur proxy et un serveur principal est courant lorsque le trafic est envoyé sur un réseau privé sécurisé. Mais dans ce cas, vous acheminez le trafic sur Internet public.

CloudFlare vous recommande également d'installer un certificat sur votre serveur Web pour un véritable chiffrement de bout en bout, et même de fournir des certificats gratuits via leur tableau de bord pour ce faire (si vous ne souhaitez pas installer un certificat auto-signé). De la discussion sur le blog CloudFlare :

En fait, nous fournirons un certificat gratuit qui est épinglé au domaine que vous pouvez installer sur votre serveur pour la cryptographie de bout en bout.

Que SSL "complet" ou "flexible" soit utilisé, vos utilisateurs ne devraient pas voir de pop-up ou d'autres avertissements.

jeffatrackaid
la source
Merci, Jeff. Ma compréhension est que flexible SSL ne negate la nécessité d'un certificat - vous n'êtes pas obligé d'installer un sur votre propre serveur, donc je ne suis pas sûr de la première partie de votre réponse est correcte. Il semble que Cloudflare dise simplement que, pour les clients qui le souhaitent, ils offriront un certificat gratuit en option pour permettre le cryptage complet de bout en bout au lieu de la configuration SSL flexible où seule une moitié du voyage est cryptée . Si vous êtes en mesure de modifier votre réponse pour refléter le fait que je la marquerai volontiers comme acceptée. Si j'ai mal interprété, faites le moi savoir!
Nick
1
J'ai mis à jour ma réponse. Il y a en fait 2 emplacements où SSL peut être utilisé. Le FlexibleSSL supprime le besoin d'un certificat SSL sur le serveur d'origine. CloudFlare fournira gratuitement le certificat SSL sur leurs serveurs de mise en cache. Nous avons donc tous les deux raison (ou les deux tort selon votre point de vue).
jeffatrackaid
1
Jeff, j'ai suggéré une modification de votre réponse pour ajouter quelques diagrammes, et j'ai fini par restructurer la réponse entière pour la rendre plus claire et plus fluide. J'espère que ça va et j'espère que je n'ai pas changé votre intention.
Simon East
1
@SimonEast Superlative edit, l'un des meilleurs que j'ai vus ici. Bien sûr, c'était bien de recevoir une réponse directement de Damon chez CloudFlare.
dan
3

Ce lien explique quelles sont les options SSL de CloudFlare .

SSL flexible, au moins pour le moment, ne crypte pas complètement votre serveur. Le problème discuté sur le blog par Matthew ("En fait, nous fournirons un certificat gratuit qui est épinglé au domaine que vous pouvez installer sur votre serveur pour la cryptographie de bout en bout ... gratuitement") n'est pas ' t disponible pour l'instant.

Nous mettrons certainement à jour le contenu pour refléter les changements lorsque nous déploierons l'option SSL gratuite.

damoncloudflare
la source
Merci pour cela, Damon. J'ai visité cette page CloudFlare avant de poster ma question, mais pour une raison quelconque, elle ne contenait que l'image à l'époque - pas le texte ci-dessous avec l'avertissement concernant le SSL flexible. Cela aide à clarifier les choses, cependant - merci.
Nick
-1

Il y a un gros inconvénient SEO. Google a déclaré qu'il privilégie les sites SSL mais que le certificat devrait être de 2048 bits . Le "SSL flexible" de CloudFlare n'est pas de 2048 bits.

Alex
la source
1
Ceux-ci sont actuellement publiés sous la forme EC 256, qui est une méthode de cryptage différente de RSA 2048. Il sera au moins aussi sécurisé et n'aura aucun effet sur le référencement.
Andrew Lott
Oui, je suppose qu'ils ont changé cela ...
Alex