Apakah ada kerugian untuk “Flexible SSL” Cloudflare?

Cloudflare memungkinkan Anda melayani situs Anda melalui SSL tanpa harus membeli dan menginstal sertifikat keamanan, produk yang mereka sebut "SSL Fleksibel" . (Mereka bertindak sebagai proxy dan melayani situs Anda melalui SSL dari server mereka, sementara koneksi dari server Anda ke server mereka tetap tidak terenkripsi.)

Mereka saat ini menawarkan SSL Fleksibel secara gratis .

Dengan pengumuman Google bahwa HTTPS sekarang menjadi sinyal peringkat , saya mempertimbangkan untuk mengalihkan beberapa situs ke Cloudflare, membeli akun Pro, dan mengaktifkan opsi "SSL Fleksibel", karena sepertinya ini adalah cara termudah untuk melayani beberapa situs melalui HTTPS tanpa harus membeli dan mengelola beberapa sertifikat.

Apakah ada kerugian untuk SSL Fleksibel Cloudflare?

Saya nyaman menggunakan Cloudflare sebagai proxy - Saya lebih tertarik pada dua faktor:

1. Pengalaman bagi pengguna akhir. (mis. Akankah pengunjung melihat peringatan keamanan?)
2. Tingkat keamanan yang ditawarkan. (Cukup untuk blog sederhana, tetapi tidak untuk toko online karena mereka akan meneruskan data kartu kredit dari server mereka ke server Anda yang tidak dienkripsi?)

SSL fleksibel TIDAK sepenuhnya aman

CloudFlare's SSL Fleksibel menyediakan enkripsi dari pengguna ke server CloudFlare, tetapi tidak dari server mereka ke server situs web. Ini menghindari kerumitan menginstal (dan memperbarui) sertifikat pada server web Anda, tetapi lalu lintas berarti dikirim teks biasa selama paruh kedua perjalanan.

Manfaat dari pengaturan ini adalah:

• Mudah untuk memulai, tidak perlu menginstal sertifikat di server web Anda dan berurusan dengan pembaruan berkala
• Memberikan perlindungan dari menguping pada koneksi WiFi yang tidak aman (kafe internet) dan lainnya di jaringan lokal Anda atau di tingkat ISP.
• Pengguna akan melihat gembok hijau di browser mereka dan tidak akan menerima peringatan keamanan apa pun

Masalah yang melekat adalah:

• Lalu lintas dari CloudFlare ke server Anda tidak dienkripsi, artinya ISP grosir, penyedia trunk, dan NSA masih dapat membaca semua permintaan dalam teks biasa
• Lalu lintas adalah serangan man-in-the-middle (MITM) di mana server lain dapat menyamar sebagai server Anda dan menerima lalu lintasnya (meskipun masalah ini juga berlaku untuk pengaturan SSL "Penuh", Anda akan memerlukan mode "Ketat" untuk menghindari ini).
• Karena hal di atas, ini memberikan rasa aman yang menyesatkan dan salah bagi pengunjung situs web Anda (tetapi kata-kata kasar tidak sesuai untuk tempat ini)

Perbandingan pengaturan SSL

Tidak mengenkripsi lalu lintas antara proxy dan server backend adalah umum ketika lalu lintas dikirim melalui jaringan pribadi yang aman. Namun dalam hal ini, Anda merutekan lalu lintas melalui internet publik.

CloudFlare merekomendasikan agar Anda juga menginstal sertifikat di server web Anda untuk enkripsi ujung ke ujung yang sebenarnya, dan bahkan memberikan sertifikat gratis melalui dasbor mereka untuk melakukannya (jika Anda tidak ingin menginstal sertifikat yang ditandatangani sendiri). Dari diskusi di CloudFlare Blog :

Sebenarnya, kami akan memberikan sertifikat gratis yang disematkan ke domain yang dapat Anda instal di server Anda untuk kripto end-to-end.

Apakah SSL "Penuh" atau "Fleksibel" digunakan, pengguna Anda seharusnya tidak melihat pop-up atau peringatan lainnya.

Tautan ini menjelaskan apa saja pilihan CloudFlare SSL .

SSL fleksibel, setidaknya saat ini, tidak sepenuhnya mengenkripsi ke server Anda. Masalah yang sedang dibahas di blog oleh Matthew ("Sebenarnya, kami akan memberikan sertifikat gratis yang disematkan ke domain yang dapat Anda instal di server Anda untuk crypto end-to-end .... gratis") bukan t belum tersedia.

Kami pasti akan memperbarui konten untuk mencerminkan perubahan apa pun ketika kami meluncurkan opsi SSL gratis.

Ada satu kelemahan SEO besar. Google mengatakan bahwa mereka menyukai situs SSL tetapi sertifikatnya harus 2048 bit "SSL fleksibel" CloudFlare bukan 2048 bit.