Https

使用 https 連接時,cloudflare 是否知道解密的內容?

  • January 29, 2015

CloudFlare 提供 ssl 支持。但是,如果訪問者訪問受 CloudFlare 保護的網站,CloudFlare 是否能夠知道在此訪問期間傳輸的純數據?

有幾個 SSL 選項:

  • 靈活的 SSL
  • 完整的 SSL
  • 完全 SSL(嚴格)

我知道對於靈活的 SSL,CloudFlare 可能知道純數據,因為數據已被 CloudFlare 解密並不安全地發送到 Web 伺服器。

Full SSL 和 Full SSL(嚴格)呢?CloudFlare 是否先解密然後再次加密以發送到 Web 伺服器?

參考文件

Cloudflare 的文件對此非常清楚。顯然(應該很明顯)靈活的 ssl 意味著從 cloudflare 到源的連接是未加密的。

Cloudflare 的 ssl 鏡像

對於完整的 ssl(任一排列),以下適用:

加密您的站點訪問者和 CloudFlare 之間的連接,以及從 CloudFlare 到您的伺服器的連接。

它們是兩個不同的連接,所以回答“cloudflare 知道解密的內容嗎?” 是是的”。

請注意,對於 EV 或 OV SSL 證書 -您需要將它們上傳到 cloudflare 以供最終使用者查看,它仍然是2 個連接 - 而不是端到端加密。

使用 SSL 的原因

使用 ssl 可以防止 MITM 攻擊,這並不意味著您使用的 cdn 對您所服務的內容一無所知。您也許應該問自己為什麼要加密連接。

如果沒有 SSL,有很多地方可能會發生 MITM 攻擊:

沒有 ssl,有很多可能的攻擊點

使用靈活的 SSL - 消除了大部分但不是全部:

靈活的ssl,現在只有一個攻擊點

使用完整 SSL -仍有可能發生 MITM 攻擊:

完整的 ssl,一個攻擊點,但現在更難了

使用 Full SSL (Strict) - 如果 cloudflare 本身沒有受到威脅,現在就不可能進行 MITM 攻擊:

完全 SSL - 沒有攻擊可能

如果您擔心 cloudflare 可以讀取您的數據,請不要使用 cloudflare

引用自:https://serverfault.com/questions/662946