Apakah cloudflare mengetahui konten yang didekripsi saat menggunakan koneksi https?

11

CloudFlare menyediakan dukungan ssl. Namun, jika pengunjung mengunjungi situs web yang dilindungi oleh CloudFlare, apakah CloudFlare dapat mengetahui data biasa yang ditransfer selama kunjungan ini?

Ada beberapa opsi SSL:

  • SSL fleksibel
  • SSL penuh
  • SSL penuh (ketat)

Saya tahu bahwa untuk SSL Fleksibel, CloudFlare mungkin mengetahui data biasa, karena data telah didekripsi oleh CloudFlare dan mengirim ke server web dengan tidak aman.

Bagaimana dengan SSL Penuh dan SSL Penuh (ketat)? Apakah CloudFlare mendekripsi terlebih dahulu kemudian mengenkripsi lagi untuk mengirim ke server web?

https cloudflare xuhdev
sumber
Apakah Anda memberi mereka sertifikat untuk domain Anda? Jika Anda perlu memberi mereka sertifikat, anggap mereka dapat melihat dan memodifikasi segala sesuatu yang dikomunikasikan. Tanpa sertifikat, mereka tidak dapat melihat atau mengubah apa yang sedang dikirim, tetapi mereka juga tidak dapat menembolok apa pun. Tanpa caching Anda hanya mendapatkan beberapa bagian dari manfaat yang ditawarkan oleh CDN.
kasperd
Tidak, saya tidak memberi mereka sertifikat. Jika CloudFlare tidak dapat melakukan cache apa pun, itu bertindak seperti proxy, apakah itu benar? Apa yang saya tidak mengerti adalah bahwa dalam Full SSLkasus ini, mengapa klien web masih mempercayai sertifikat SSL bahkan ketika sertifikat server ditandatangani sendiri (dalam kasus saya situs tersebut ditunjukkan ditandatangani oleh COMODO), jika CloudFlare bertindak seperti proxy .
xuhdev
Itu tidak masuk akal. Ditandatangani sendiri tidak sama dengan yang ditandatangani oleh Comodo.
kasperd
@ AD7six Jika ini adalah dua koneksi SSL yang berbeda, maka mereka harus memiliki sertifikat juga. Agar sertifikat SSL itu dikeluarkan, pemilik domain harus menyetujuinya terlebih dahulu. Dan xuhdev mengatakan itu belum terjadi.
kasperd
2
@ AD7six Ketika CA dan CDN adalah dua entitas yang terpisah, itu sedikit lebih jelas bahwa Anda meminta sertifikat dari satu entitas dan menyerahkannya kepada yang lain. Ketika keduanya adalah satu entitas, dapat menjadi kurang jelas bagi pemilik domain apa yang mereka berikan persetujuan. Saya akan mengatakan tanggung jawab ada di Cloudflare untuk memberi tahu pemilik domain, apa yang mereka berikan persetujuan. Tampaknya ini tidak dibuat cukup jelas untuk disadari xuhdev, karena ia tampaknya tidak mengetahui Cloudflare memiliki sertifikat. Saya tidak tahu apakah ini berarti Cloudflare tidak menjelaskan dengan cukup jelas atau jika xuhdev tidak memperhatikan
kasperd

Jawaban:

13

Lihat dokumentasi

Dokumen Cloudflare cukup jelas dalam hal ini. Jelas (harus jelas) Fleksibel ssl berarti koneksi dari cloudflare ke asal tidak terenkripsi.

Gambar ssl Cloudflare

Untuk ssl lengkap (permutasi baik) yang berikut ini berlaku:

Enkripsi koneksi antara pengunjung situs Anda dan CloudFlare, dan dari CloudFlare ke server Anda.

Mereka adalah dua koneksi yang berbeda , Jadi jawaban untuk "Apakah cloudflare mengetahui konten yang didekripsi?" adalah: "Ya".

Perhatikan bahwa untuk sertifikat SSL EV atau OV - Anda harus mengunggahnya ke cloudflare untuk dilihat oleh pengguna akhir , itu masih 2 koneksi - bukan enkripsi ujung ke ujung.

Alasan menggunakan SSL

Menggunakan ssl mencegah serangan MITM , itu tidak berarti cdn yang Anda gunakan tidak menyadari konten yang disajikannya, untuk Anda. Anda mungkin harus bertanya pada diri sendiri mengapa Anda ingin mengenkripsi koneksi.

Tanpa SSL, ada banyak tempat serangan MITM dapat terjadi:

Tidak ssl, banyak kemungkinan poin serangan

Dengan SSL Fleksibel - yang menghilangkan sebagian besar, tetapi tidak semuanya:

Ssl fleksibel, hanya satu titik serangan sekarang

Dengan SSL Penuh - masih ada kemungkinan serangan MITM:

Full ssl, satu titik serangan tetapi sekarang lebih sulit

Dengan Full SSL (Strict) - serangan MITM sekarang tidak mungkin tanpa cloudflare sendiri dikompromikan:

SSL penuh - tidak ada serangan yang mungkin terjadi

Jika Anda khawatir cloudflare dapat membaca data Anda - jangan gunakan cloudflare .

AD7six
sumber
5
Penting untuk dicatat bahwa bahkan dengan SSL yang ketat, Anda tidak akan pernah tahu apakah CloudFlare dikompromikan kecuali seseorang membocorkannya secara ilegal. Jika mereka dikompromikan, mereka dapat membaca semuanya .
Oli
3
Saya sangat suka penggunaan "NSA" dan NSA yang tersohor itu.
Traubenfuchs