Le altre risposte sono giuste che, in pratica, Cloudflare non è in grado di fornire tutti i servizi completi in modo efficace senza introdurre questo tipo di rischio per la sicurezza.
In parole povere, Cloudflare fa due cose:
-
Rispecchiano il tuo sito e possono servirlo dai loro server (il loro CDN). In questo modo, se il tuo sito viene colpito da un DDoS, può assorbire il traffico e gli utenti legittimi saranno comunque in grado di raggiungere i loro servizi e vedere il tuo sito.
-
Effettuano analisi del traffico a livello di applicazione per rilevare attacchi e traffico dannoso. Ciò richiede l'ispezione del testo in chiaro del traffico HTTP.
Ovviamente, il secondo richiede a Cloudflare di essere in grado di vedere il tuo traffico.
Il primo richiede anche che Cloudflare sia in grado di fingere di essere il tuo sito, quindi devi fidarti di loro.
In linea di principio, Cloudflare potrebbe essere in grado di ottenere alcuni dei vantaggi del mirroring del sito, senza richiedere la stessa fiducia in essi. In particolare, si potrebbe immaginare uno schema in cui le pagine di livello superiore del tuo sito sono ancora servite dal tuo server, ma dove sotto-risorse come immagini, fogli di stile CSS, sottopagine IFRAMED, dati dinamici e altre informazioni sono servite dai mirror di Cloudflare. Forse le pagine di livello più alto del tuo sito potrebbero essere pubblicate con un tempo di vita molto lungo in modo che possa essere memorizzato nella cache per un lungo periodo.
In questo modo, un utente che ha visitato il tuo sito in un passato non troppo lontano può ancora avere la pagina di livello superiore nella cache, e il resto del contenuto verrà servito dai server di Cloudflare. Ciò consente all'utente di vedere ancora l'icona di un lucchetto e l'indirizzo del tuo sito nella barra degli indirizzi del browser, e Cloudflare non avrà bisogno della tua chiave privata SSL.
Tuttavia, questo tipo di schema presenta limitazioni importanti e enormi svantaggi. Se il tuo sito viene colpito da un attacco DDoS, gli utenti che non sono mai stati sul tuo sito prima non saranno in grado di visitarlo. Peggio ancora, dovrai cambiare tutte le tue pagine in modo che l'URL di ogni risorsa venga modificato in modo che punti alla rete di Cloudflare invece che ai tuoi server. Questo è un onere enorme e renderebbe difficile per gli operatori del sito adottare la protezione di Cloudflare. Una grande parte del fascino di Cloudflare è che è facile da configurare: basta modificare una riga nel file di configurazione DNS e sei pronto per partire. Il tipo di approccio che ho citato perde tutti questi vantaggi.
In linea di principio, potresti immaginare che il tipo di schema che ho delineato possa essere utile per alcune classi limitate di siti Web che sono AJAX-heavy, dove hanno solo una singola pagina che contiene un gruppo di Javascript che carica tutte le sue risorse attraverso le chiamate AJAX. Tuttavia, quel tipo di sito Web è relativamente raro e viene solitamente creato da sviluppatori piuttosto esperti di tecnologia che potrebbero non aver bisogno di servizi di un'azienda come Cloudflare in ogni caso - probabilmente hanno i propri modi per fornire protezione e protezione DDoS.
Quindi, per tutti questi motivi, il tipo di alternativa che ho delineato non è probabilmente utile o attraente nella pratica.