https 연결을 사용할 때 cloudflare가 해독 된 콘텐츠를 알고 있습니까?

11

CloudFlare는 SSL 지원을 제공합니다. 그러나 방문자가 CloudFlare로 보호되는 웹 사이트를 방문하는 경우 CloudFlare는이 방문 동안 전송 된 일반 데이터를 알 수 있습니까?

몇 가지 SSL 옵션이 있습니다.

  • 유연한 SSL
  • 전체 SSL
  • 전체 SSL (엄격)

Flexible SSL의 경우 CloudFlare는 CloudFlare에서 데이터를 해독하여 안전하지 않은 웹 서버로 전송하므로 일반 데이터를 알고있을 것입니다.

Full SSL 및 Full SSL (엄격)은 어떻습니까? CloudFlare가 먼저 해독 한 다음 다시 암호화하여 웹 서버로 전송합니까?

https  cloudflare 
xuhdev
소스
도메인에 대한 인증서를 제공하고 있습니까? 인증서를 제공해야하는 경우 통신중인 모든 내용을보고 수정할 수 있다고 가정하십시오. 인증서가 없으면 전송중인 내용을 보거나 수정할 수 없지만 캐시 할 수 없습니다. 캐싱 없이는 CDN이 제공하는 혜택의 일부만 얻을 수 있습니다.
kasperd
아니요, 인증서를 제공하지 않았습니다. CloudFlare가 아무것도 캐시 할 수없는 경우 프록시처럼 작동합니다. 맞습니까? 내가 이해하지 못하는 Full SSL것은 CloudFlare가 프록시처럼 작동하는 경우 서버 인증서가 자체 서명 된 경우에도 웹 클라이언트가 여전히 SSL 인증서를 신뢰하는 이유입니다 (제 경우에는 사이트가 COMODO에 의해 서명 된 것으로 표시됨) .
xuhdev
말이되지 않습니다. 자체 서명은 Comodo가 서명 한 것과 다릅니다.
kasperd
@ AD7six 두 개의 다른 SSL 연결 인 경우 인증서도 있어야합니다. 해당 SSL 인증서를 발급 받으려면 도메인 소유자가 먼저 인증서를 승인해야합니다. 그리고 xuhdev는 그런 일이 일어나지 않았다고 말했습니다.
kasperd
2
@ AD7six CA와 CDN이 별도의 두 엔터티 인 경우 한 엔터티에서 인증서를 요청하여 다른 엔터티로 전달하는 것이 조금 더 분명합니다. 두 개체가 하나의 개체 인 경우 도메인 소유자가 동의하는 내용이 명확하지 않을 수 있습니다. 도메인 소유자에게 동의하는 내용을 알려주기 위해 Cloudflare를 사용하고 있다고 말하고 싶습니다. xuhdev가 인증서를 가지고있는 Cloudflare를 알지 못했기 때문에 이것이 xuhdev가 인식 할 수있을만큼 명확하지 않은 것으로 보입니다. 이것이 Cloudflare가 명확하게 충분히 설명하지 않았거나 xuhdev가주의를 기울이지 않았 음을 의미하는지 모르겠습니다.
kasperd

답변:

13

설명서를 참조하십시오

Cloudflare의 문서 는 이것에 대해 상당히 명확합니다. 분명히 (명백해야 함) Flexible ssl은 cloudflare에서 오리진으로의 연결이 암호화되지 않았 음을 의미합니다.

Cloudflare의 SSL 이미지

전체 SSL (순열)의 경우 다음이 적용됩니다.

사이트 방문자와 CloudFlare 및 CloudFlare와 서버 간의 연결을 암호화합니다.

그들은있는 두 개의 서로 다른 연결 에 대한 대답 "합니까이 해독 된 내용을 알고 cloudflare?"그래서, "예"입니다.

EV 또는 OV SSL 인증서 것을 주 - 최종 사용자가 볼 수 있도록 당신이 cloudflare에로 업로드 할 필요는 , 그건 아직 되지 엔드 - 투 - 엔드 암호화 - 2 개 연결.

SSL을 사용해야하는 이유

ssl을 사용하면 MITM 공격을 막을 수 있습니다. 이는 사용중인 CDN이 자신이 제공하는 콘텐츠를 잘 모르는 것은 아닙니다. 연결을 암호화하려는 이유를 스스로에게 문의해야 할 수도 있습니다.

SSL이 없으면 MITM 공격이 발생할 수있는 곳이 많이 있습니다.

SSL 없음, 가능한 많은 공격 지점

Flexible SSL을 사용하면 대부분을 제거 할 수 있지만 모두 제거 할 수는 없습니다.

유연한 SSL, 이제 하나의 공격 지점

전체 SSL을 사용하면 여전히 MITM 공격의 가능성이 있습니다.

풀 SSL, 하나의 공격 포인트

Full SSL (Strict)을 사용하면 cloudflare 자체가 손상되지 않으면 MITM 공격이 불가능합니다.

완전한 SSL-공격 불가능

cloudflare가 데이터를 읽을 수 있다고 우려되는 경우 cloudflare를 사용하지 마십시오 .

AD7six
소스
5
엄격한 SSL을 사용하더라도 누군가가 불법적으로 유출하지 않는 한 CloudFlare가 손상되었는지 여부를 절대 알 수 없습니다. 그들이 타협되면 모든 것을 읽을 수 있습니다 .
Oli
3
나는 그들의 "NSA"와 악명 높은 NSA 스마일의 사용법을 정말 좋아합니다.
Traubenfuchs
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.