CloudFlare al giorno d'oggi ha una propria CA in modo che possano fabbricare qualsiasi certificato che desiderano. La loro politica è di creare certificati per soli domini che sono ospitati sul loro server DNS ma non ci sono e non possono essere tali limiti tecnici.
Correzione: CloudFlare è in esecuzione Origin CA ma non lo sono una CA pubblica La "CA originale" consente a CloudFlare di firmare e revocare i certificati per la connessione tra CloudFlare e l'host di origine reale (di solito non noto pubblicamente). Questi certificati non hanno una catena di fiducia per il trust store degli user-user di uso comune. Ciò significa che i certificati firmati da "Origine CA" non sono considerati affidabili ad es. Firefox, Chrome o Safari. Va bene, perché il caso d'uso per questi certificati è quello di proteggere la connessione tra CloudFlare il front-end server (tecnicamente HTTP reverse proxy con supporto TLS) e il vero host back-end server.
Per tutti i siti offerti tramite CloudFlare, supportano Universal SSL che sembra per essere attualmente supportato da COMODO CA. Ispezionare i certificati di un paio di siti in esecuzione tramite CloudFlare suggerisce che ottengono certificati "Controllo dominio convalidato" da COMODO in cui CN
record punta al proxy inverso controllato CloudFlare effettivo (ad esempio sni9922.cloudflaressl.com
) e Subject Alternative Names
elenca i domini effettivi che sono serviti tramite CloudFlare. Ogni certificato viene utilizzato per una manciata di domini.
Non sono sicuro del motivo per cui hanno questo tipo di arrangiamento. Ovviamente hanno bisogno di SNI per capire quale certificato dare a qualsiasi nuova connessione, ma dovrebbero essere in grado di acquisire un vero certificato per qualsiasi dominio che controllano (cioè, ogni certificato potrebbe avere CN
record che punta direttamente al dominio effettivamente ospitato invece di qualcosa che assomiglia a sni9922.cloudflaressl.com
).
Ovviamente sono in grado di ottenere certificati "Validated Control Domain" per qualsiasi host che si sta avviando tramite loro perché controllano i record DNS (i tuoi record DNS devono puntare a CloudFlare per usare CloudFlare per l'host) e qualsiasi nuovo HTTP (o HTTPS) le connessioni vanno ai loro server front-end.
TL; DR: CloudFlare non può fornire un certificato SSL / TLS valido per domini non sotto il suo controllo. Tuttavia, tutti i client di CloudFlare devono ospitare i loro record DNS su CloudFlare e, di conseguenza, CloudFlare ha il controllo del dominio per tutti i suoi client.