Come può CloudFlare fornire un certificato SSL valido per domini non sotto il suo controllo?

9

CloudFlare fornisce un proxy inverso e offre supporto SSL ("flessibile", "completo", "rigoroso completo" e "senza chiave").

In che modo CloudFlare riesce a ottenere un certificato valido per i domini che non possiede? Le autorità di certificazione normalmente non richiedono la prova di essere il proprietario del dominio, per lo meno inviando un'email di verifica a un indirizzo email di quel dominio? In che modo CloudFlare salta questo passaggio?

    
posta Flimm 30.09.2015 - 15:00
fonte

3 risposte

15

In poche parole, il webmaster del sito carica il certificato su CloudFlare.

consulta questo articolo per i dettagli .

La modalità Keyless non ha questo requisito. Utilizza invece un key server on premise per fornire la chiave privata del server. Vedi lo schema qui per i dettagli su come funziona.

Per gli account gratuiti

Cloudflare stato nel loro blog :

For all customers, we will now automatically provision a SSL certificate on CloudFlare's network that will accept HTTPS connections for a customer's domain and subdomains. Those certificates include an entry for the root domain (e.g., example.com) as well as a wildcard entry for all first-level subdomains (e.g., www.example.com, blog.example.com, etc.).

Cloudflare fa controlla il dominio, perché il cliente ha indirizzato i record DNS su di esso, ciò significa che possono ottenere un certificato convalidato dal dominio . Le procedure di convalida del dominio non devono comportare l'invio di un'e-mail al dominio, che non sarebbe possibile per l'intercettazione di Cloudflare perché il record MX non è repointato. Possono invece dimostrare di possedere il dominio inserendo un file di testo con nomi casuali contenente una chiave casuale per la CA da interrogare per provare il controllo del dominio. La CA specificherà il nome e il contenuto di questo file che sarà in grado di controllare. Cloudflare potrebbe quindi intercettare le richieste per l'URL e visualizzare il codice di convalida necessario.

    
risposta data 30.09.2015 - 15:08
fonte
1

Esattamente! Indichi il tuo DNS su CloudFlare. Ma non ti permette di usare il tuo certificato SSL se non hai il piano Business ($ 200 / mese) o Enterprise ($ 5000 / mese). È possibile utilizzare un certificato SSL flessibile che forniscono. Quindi, se si desidera utilizzare il proprio certificato EV-SSL, è necessario fare piani. Raccomando invece di usare Incapsula Enterprise. Molto meglio il firewall per applicazioni Web con protezione DDoS!

    
risposta data 01.10.2015 - 05:41
fonte
1

CloudFlare al giorno d'oggi ha una propria CA in modo che possano fabbricare qualsiasi certificato che desiderano. La loro politica è di creare certificati per soli domini che sono ospitati sul loro server DNS ma non ci sono e non possono essere tali limiti tecnici.

Correzione: CloudFlare è in esecuzione Origin CA ma non lo sono una CA pubblica La "CA originale" consente a CloudFlare di firmare e revocare i certificati per la connessione tra CloudFlare e l'host di origine reale (di solito non noto pubblicamente). Questi certificati non hanno una catena di fiducia per il trust store degli user-user di uso comune. Ciò significa che i certificati firmati da "Origine CA" non sono considerati affidabili ad es. Firefox, Chrome o Safari. Va bene, perché il caso d'uso per questi certificati è quello di proteggere la connessione tra CloudFlare il front-end server (tecnicamente HTTP reverse proxy con supporto TLS) e il vero host back-end server.

Per tutti i siti offerti tramite CloudFlare, supportano Universal SSL che sembra per essere attualmente supportato da COMODO CA. Ispezionare i certificati di un paio di siti in esecuzione tramite CloudFlare suggerisce che ottengono certificati "Controllo dominio convalidato" da COMODO in cui CN record punta al proxy inverso controllato CloudFlare effettivo (ad esempio sni9922.cloudflaressl.com ) e Subject Alternative Names elenca i domini effettivi che sono serviti tramite CloudFlare. Ogni certificato viene utilizzato per una manciata di domini.

Non sono sicuro del motivo per cui hanno questo tipo di arrangiamento. Ovviamente hanno bisogno di SNI per capire quale certificato dare a qualsiasi nuova connessione, ma dovrebbero essere in grado di acquisire un vero certificato per qualsiasi dominio che controllano (cioè, ogni certificato potrebbe avere CN record che punta direttamente al dominio effettivamente ospitato invece di qualcosa che assomiglia a sni9922.cloudflaressl.com ).

Ovviamente sono in grado di ottenere certificati "Validated Control Domain" per qualsiasi host che si sta avviando tramite loro perché controllano i record DNS (i tuoi record DNS devono puntare a CloudFlare per usare CloudFlare per l'host) e qualsiasi nuovo HTTP (o HTTPS) le connessioni vanno ai loro server front-end.

TL; DR: CloudFlare non può fornire un certificato SSL / TLS valido per domini non sotto il suo controllo. Tuttavia, tutti i client di CloudFlare devono ospitare i loro record DNS su CloudFlare e, di conseguenza, CloudFlare ha il controllo del dominio per tutti i suoi client.

    
risposta data 17.02.2017 - 14:45
fonte

Leggi altre domande sui tag