Come può cloudflare leggere la richiesta crittografata senza chiave privata? [duplicare]

4

Abbiamo Cloudflare nel nostro server di produzione e il livello di crittografia è pieno, non flessibile. Questa pagina web ha spiegato che Cloudflare può decodificare la richiesta. Ma non abbiamo dato la chiave privata del nostro server a cloudflare. Come è possibile? Questo significa che chiunque può decifrare la richiesta senza la chiave privata di destinazione?

    
posta Jonathan L. 19.12.2017 - 02:25
fonte

2 risposte

2

Uno dei modi in cui si utilizza cloudflare è impostare i record NS per il proprio dominio sui name server di cloudflare che a loro volta risolvono www.mydomain.com ai loro indirizzi IP. Ciò significa che quando vai su www.mydomain.com setup con cloudflare, colpisce uno dei loro server. Il certificato SSL per quel dominio non è tuo, è il loro. Verifica il certificato SSL per il tuo sito web, vedrai che è stato emesso a something.cloudflaressl.com e il tuo dominio è solo uno dei tanti in Subject Alternative name .

L'impostazione "Full SSL" significa che tutto il traffico client verso cloudflare è su SSL (usando il loro certificato), e tutto il traffico tra cloudflare e il tuo server attuale è anche su SSL (usando un certificato che corrisponde al nome del tuo server).

Come puoi vedere, cloudflare per definizione decifra tutto il traffico per il tuo sito web ma può farlo perché cloudflare tecnicamente è il tuo sito web. Il tuo server attuale è semplicemente una nuvola che raccoglie i dati da quando non li ha memorizzati nella cache. Se ci pensi, in quale altro modo potrebbe memorizzare qualcosa?

    
risposta data 19.12.2017 - 02:49
fonte
1

Esistono diversi modi per configurare il cloudflare:

  1. È possibile impostare cloudflare come provider DNS, la maggior parte delle CA considera la prova del controllo DNS come prova valida del controllo del dominio. Ciò consente a cloudflare di creare un certificato DV valido con il tuo nome di dominio.
  2. Puoi dare a cloudflare la tua chiave privata, questo ti permette di usare il certificato OV o EV.
  3. Nei piani di livello superiore, puoi utilizzare SSL senza chiave , questo ti consente di utilizzare OV ed EV senza cedere le tue chiavi.

In tutti i casi, sì, cloudflare può intercettare e modificare qualsiasi dato che lo attraversa. Ciò è necessario perché il modo principale in cui Cloudflare funziona è uno strato di caching del bordo, un firewall dell'applicazione Web e un captcha. Tutte queste funzionalità richiedono che siano in grado di vedere il contenuto delle richieste man mano che vengono e / o modificare le pagine.

Esistono diversi modi per limitare l'autorità di un provider CDN come cloudflare, se si utilizza cloudflare per servire file statici, è possibile pubblicare direttamente il sito principale e utilizzare integrità della risorsa o aggiungere la propria crittografia per impedire modifiche dei file servite tramite cloudflare. Se utilizzi un'applicazione nativa come client (ad esempio un'app Android), potresti appuntare il certificato del tuo sito o richiedere il certificato OV o EV.

Se si esegue il dominio principale tramite cloudflare, quindi cloudflare è efficace quanto il provider di hosting.

    
risposta data 19.12.2017 - 03:34
fonte

Leggi altre domande sui tag