Quão seguro é o SSL básico do CloudFlare?

6

O pacote SSL básico da CloudFlare oferece criptografia SSL para o seu site, mas apenas entre o navegador do seu cliente e o servidor CloudFlare em que o SSL é encerrado. A conexão entre CloudFlare e seu próprio servidor não é servida por SSL.

Quão seguro é isso? E qual informação você não gostaria de enviar usando este sistema? E como seria fácil alguém espionar seu CloudFare - > Conexão do servidor?

O CloudFlare também oferece um serviço SSL completo que permite que você instale seu próprio certificado e criptografe todo o trajeto, mas o preço é 10 vezes maior.

    
por mrwooster 06.05.2013 / 22:20

1 resposta

6

Em última análise, para os clientes, a melhor segurança também tem fim para o SSL. Parece que você pode obter 'Full-SSL' apenas em sua conta Pro, e você pode fazê-lo com certificados auto-assinados em seu próprio servidor pessoal, se quiser.

Para que um invasor intercepte o tráfego enquanto usa seu 'Flexible-SSL' (SSL somente entre clientes e Cloudflare), esse invasor precisa estar no meio do Cloudflare e de seu servidor. O lugar mais fácil para isso também é mais provável do que não em sua rede local usando uma técnica MITM como envenenamento arp ou cheirando o tráfego direto do fio se eles tiverem acesso a um hub ou alternar com um modo de monitor.

É razoável esperar que um invasor não consiga MITM ou sniff conexões entre seu ISP e o Cloudflare, a menos que seu invasor seja um dos ISPs ou um maior ator de estado (como a NSA).

No mínimo, se você for usar qualquer SSL, também envie um certificado autoassinado e abra a porta 443 em seu servidor da Web para que as informações não passem pelo texto sem formatação. Não sei se o cloudflare está atento a alterações no certificado, mas no mínimo evitará farejar o tráfego e forçar o invasor a usar um ataque mais ruidoso, mais agressivo e potencialmente fácil de detectar.

Editar: A única coisa que os níveis comercial e empresarial de seus serviços fornecem a você em relação ao SSL é a possibilidade de você também fazer o upload do seu próprio certificado SSL personalizado que será voltado para os clientes. Por exemplo, se você quisesse um certificado de validação estendido.

    
por 06.05.2013 / 23:05