Cloudflare vous permet de servir votre site via SSL sans avoir à acheter et installer un certificat de sécurité, un produit qu'ils appellent «SSL flexible» . (Ils agissent comme un proxy et servent votre site via SSL à partir de leurs serveurs, tandis que la connexion de votre serveur au leur reste non chiffrée.)
Ils offrent actuellement gratuitement SSL flexible .
Avec l'annonce de Google que le HTTPS est maintenant un signal de classement , j'envisage de basculer plusieurs sites vers Cloudflare, d'acheter un compte Pro et d'activer leur option «SSL flexible», car cela semble être le moyen le plus simple de servir plusieurs sites via HTTPS sans avoir à acheter et gérer plusieurs certificats.
Y a-t-il un inconvénient au SSL flexible de Cloudflare?
Je suis à l'aise avec Cloudflare comme proxy - je suis plus intéressé par deux facteurs:
- L'expérience pour les utilisateurs finaux. (Par exemple, les visiteurs verront-ils des avertissements de sécurité?)
- Le niveau de sécurité offert. (Assez pour un blog simple, mais pas pour une boutique en ligne car ils transmettraient les données de carte de crédit de leur serveur au vôtre non cryptées?)
la source
Réponses:
SSL flexible n'est PAS entièrement sécurisé
Le SSL flexible de CloudFlare fournit le chiffrement de l'utilisateur aux serveurs de CloudFlare, mais pas de leurs serveurs au serveur du site Web. Cela évite les tracas d'installer (et de renouveler) un certificat sur votre serveur Web, mais signifie que le trafic est envoyé en texte brut au cours de la 2e moitié du voyage.
Les avantages de cette configuration sont les suivants:
Les problèmes inhérents sont:
Comparaison des paramètres SSL
Le non-chiffrement du trafic entre un serveur proxy et un serveur principal est courant lorsque le trafic est envoyé sur un réseau privé sécurisé. Mais dans ce cas, vous acheminez le trafic sur Internet public.
CloudFlare vous recommande également d'installer un certificat sur votre serveur Web pour un véritable chiffrement de bout en bout, et même de fournir des certificats gratuits via leur tableau de bord pour ce faire (si vous ne souhaitez pas installer un certificat auto-signé). De la discussion sur le blog CloudFlare :
Que SSL "complet" ou "flexible" soit utilisé, vos utilisateurs ne devraient pas voir de pop-up ou d'autres avertissements.
la source
Ce lien explique quelles sont les options SSL de CloudFlare .
SSL flexible, au moins pour le moment, ne crypte pas complètement votre serveur. Le problème discuté sur le blog par Matthew ("En fait, nous fournirons un certificat gratuit qui est épinglé au domaine que vous pouvez installer sur votre serveur pour la cryptographie de bout en bout ... gratuitement") n'est pas ' t disponible pour l'instant.
Nous mettrons certainement à jour le contenu pour refléter les changements lorsque nous déploierons l'option SSL gratuite.
la source
Il y a un gros inconvénient SEO. Google a déclaré qu'il privilégie les sites SSL mais que le certificat devrait être de 2048 bits . Le "SSL flexible" de CloudFlare n'est pas de 2048 bits.
la source