Cloudflare의 "Flexible SSL"에 단점이 있습니까?

12

Cloudflare를 사용하면 “Flexible SSL” 이라고하는 제품인 보안 인증서를 구매하고 설치할 필요없이 SSL통해 사이트서비스 할 수 있습니다 . (서버에서 서버로의 연결은 암호화되지 않은 상태에서 프록시 역할을하며 서버에서 SSL을 통해 사이트를 제공합니다.)

그들은 현재 무료로 유연한 SSL을 제공 합니다.

구글이 HTTPS가 이제 랭킹 신호 라고 발표하면서 여러 사이트를 Cloudflare로 전환하고, 프로 계정을 구매하고, "Flexible SSL"옵션을 켜는 것을 고려하고 있습니다. 여러 인증서를 구매하고 관리해야합니다.

Cloudflare의 Flexible SSL에 단점이 있습니까?

Cloudflare를 프록시로 사용하는 것이 편합니다. 두 가지 요소에 더 관심이 있습니다.

  1. 최종 사용자를위한 경험. (예 : 방문자에게 보안 경고가 표시됩니까?)
  2. 제공되는 보안 수준. (간단한 블로그에는 충분하지만 온라인 상점에는 적합하지 않습니다. 신용 카드 데이터를 서버에서 암호화되지 않은 서버로 전달했기 때문입니다.)
seo  security  https  cloudflare 
새긴 ​​금
소스
보안이 중요한 경우 StartSSL 무료 레벨 01 SSL 인증서를 사용합니다. 유연한 SSL은 쉽고 저렴한 옵션이어야합니다.
Rana Prathap
제 생각에는 단점은 가격입니다. 저렴한 SSL 인증서 비용은 연간 5 $입니다.
Ka Rl
@KaRl 이것은 무료 서비스이므로 가격을 불리한 것으로 간주해서는 안됩니다.
Andrew Lott

답변:

7

유연한 SSL은 완전히 안전하지 않습니다

CloudFlare의 유연한 SSL은 사용자에서 CloudFlare 서버로의 암호화를 제공하지만 서버에서 웹 사이트 서버로의 암호화는 제공 하지 않습니다 . 이렇게하면 웹 서버에 인증서를 설치 (및 갱신)하는 번거 로움을 피할 수 있지만 여정 후반에 트래픽이 일반 텍스트로 전송됩니다.

Cloudflare 유연한 SSL

이 설정의 장점은 다음과 같습니다.

  • 시작하기 쉽고 웹 서버에 인증서를 설치할 필요가 없으며 정기적 인 갱신을 처리 할 수 ​​있습니다
  • 안전하지 않은 WiFi 연결 (인터넷 카페) 및 로컬 네트워크 또는 ISP 수준의 다른 장치에서 도청으로부터 보호합니다.
  • 사용자는 브라우저에 녹색 자물쇠가 표시되며 보안 경고를받지 않아야합니다.

고유 한 문제는 다음과 같습니다.

  • CloudFlare에서 서버로의 트래픽은 암호화되지 않으므로 도매 ISP, 트렁크 공급자 및 NSA가 여전히 모든 요청을 일반 텍스트로 읽을 수 있음
  • 트래픽은 다른 서버가 서버를 가장하고 트래픽을받을 수있는 MITM (주제 자 공격) 공격입니다 (이 문제는 "전체"SSL 설정에도 적용되지만, "엄격한"모드가 필요합니다. 이).
  • 위의 이유로 웹 사이트 방문자에게 오해의 소지가 있고 잘못된 보안 감각을 제공합니다 (그러나이 장소에는 적합하지 않습니다)

SSL 설정 비교

CloudFlare SSL 설정

트래픽이 개인 보안 네트워크를 통해 전송 될 때 프록시와 백엔드 서버 간의 트래픽을 암호화하지 않는 것이 일반적입니다. 그러나이 경우 공용 인터넷을 통해 트래픽을 라우팅합니다.

CloudFlare는 진정한 엔드 투 엔드 암호화를 위해 웹 서버에 인증서를 설치하고 대시 보드를 통해 무료 인증서를 제공 할 수도 있습니다 (자체 서명 인증서를 설치하지 않으려는 경우). CloudFlare 블로그 에 대한 토론에서 :

실제로 엔드-투-엔드 암호화를 위해 서버에 설치할 수있는 도메인에 고정 된 무료 인증서를 제공 할 것입니다.

"Full"또는 "Flexible"SSL 사용 여부에 관계없이 사용자에게 팝업 또는 기타 경고가 표시되지 않아야합니다.

jeffatrackaid
소스
고마워요, 제프 내 이해는 Flexible SSL 인증서의 필요성을 무효화한다는 것입니다. 귀하는 자신의 서버에 인증서를 설치할 의무가 없으므로 답의 첫 부분이 정확한지는 확실하지 않습니다. Cloudflare는 원하는 고객을 위해 여정의 절반 만 암호화되는 유연한 SSL 설정 대신 완전한 엔드 투 엔드 암호화를 가능하게하는 추가 옵션으로 무료 인증서를 제공 할 것이라고 말합니다. . 답변을 편집 할 수 있다면 기꺼이 수락 한 것으로 표시하겠습니다. 내가 잘못 해석 한 경우 알려주세요!
Nick
1
내 답변을 업데이트했습니다. 실제로 SSL을 사용할 수있는 위치는 두 곳입니다. FlexibleSSL은 오리진 서버에서 SSL 인증서가 필요하지 않습니다. CloudFlare는 캐싱 서버에서 무료로 SSL 인증서를 제공합니다. 따라서 우리는 실제로 모두 옳습니다 (또는 관점에 따라 둘 다 잘못되었습니다).
jeffatrackaid
1
Jeff, 일부 다이어그램을 추가하기 위해 귀하의 답변에 대한 편집을 제안했으며, 더 명확하고 더 나은 흐름을 위해 전체 답변을 재구성하는 결과를 얻었습니다. 나는 그것이 좋기를 바랍니다. 나는 당신의 의도를 바꾸지 않았기를 바랍니다.
Simon East
1
@SimonEast 여기서 본 최고의 편집 중 하나 인 최상급 편집. 물론 CloudFlare의 Damon으로부터 직접 답변을받는 것이 좋았습니다.
dan
3

이 링크는 CloudFlare SSL 옵션 이 무엇인지 설명합니다 .

최소한 현재 유연한 SSL은 서버를 완전히 암호화하지 않습니다. Matthew가 블로그에서 논의한 문제 ( "실제로, 우리는 엔드 투 엔드 암호화를 위해 서버에 설치할 수있는 도메인에 고정 된 무료 인증서를 제공 할 것입니다.") '' 아직 사용할 수 없습니다.

무료 SSL 옵션을 출시 할 때 변경 사항을 반영하도록 콘텐츠를 업데이트 할 것입니다.

데이먼
소스
고마워, 데이먼 내 질문을 게시하기 전에 해당 CloudFlare 페이지를 방문했지만 어떤 이유로 유연한 SSL에 대한 경고와 함께 아래 텍스트가 아닌 당시의 이미지 만 포함되어있었습니다. 그래도 문제를 명확히하는 데 도움이됩니다. 감사합니다.
Nick
-1

SEO에 큰 단점이 있습니다. 구글은 말했다 는 SSL 사이트를 선호하는 것이 있지만, 인증서 2048 비트이어야한다 CloudFlare의 "유연한 SSL"2048 비트가 아닙니다.

알렉스
소스
1
이들은 현재 RSA 2048과 다른 암호화 방법 인 EC 256으로 발행되고 있습니다. 최소한 안전하고 SEO에는 영향을 미치지 않습니다.
Andrew Lott
그렇습니다. 그들이 이것을 바꾼 것 같습니다.
Alex
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.