Le «SSL flexible» de Cloudflare présente-t-il des inconvénients?
Cloudflare vous permet de servir votre site via SSL sans avoir à acheter et installer un certificat de sécurité, un produit qu'ils appellent "Flexible SSL" . (Ils agissent en tant que proxy et servent votre site via SSL depuis leurs serveurs, tandis que la connexion de votre serveur vers le leur reste non chiffrée.)
Ils offrent actuellement Flexible SSL pour gratuit .
Avec l'annonce de Google selon laquelle HTTPS est désormais un signal de classement , j'envisage de basculer plusieurs sites vers Cloudflare, d'acheter un compte Pro et d'activer leur option "Flexible SSL", car cela semble être le moyen le plus simple. pour servir plusieurs sites via HTTPS sans avoir à acheter et gérer plusieurs certificats.
Existe-t-il des inconvénients au SSL flexible de Cloudflare?
Je suis à l'aise avec Cloudflare en tant que proxy - je suis plus intéressé par deux facteurs:
- L'expérience pour les utilisateurs finaux. (par exemple, les visiteurs verront-ils des avertissements de sécurité?)
- Le niveau de sécurité offert. (Assez pour un blog simple, mais pas pour une boutique en ligne car ils transmettraient les données de carte de crédit de leur serveur à votre serveur sans être cryptées?)
SSL flexible n'est pas entièrement sécurisé
Le SSL flexible de CloudFlare fournit un cryptage de l'utilisateur aux serveurs CloudFlare, mais non de leurs serveurs au serveur de site Web. Cela évite d'avoir à installer (et à renouveler) un certificat sur votre serveur Web, mais signifie que le trafic est envoyé en texte brut au cours de la seconde moitié du voyage.
Les avantages de cette configuration sont les suivants:
- Facile à démarrer, pas besoin d'installer des certificats sur votre serveur web et de gérer les renouvellements périodiques
- Fournit une protection contre les intrusions sur des connexions WiFi non sécurisées (cybercafés) et autres sur votre réseau local ou au niveau de votre fournisseur d'accès.
- Les utilisateurs verront un cadenas vert dans leur navigateur et ne devraient recevoir aucun avertissement de sécurité.
Les problèmes inhérents sont:
- Le trafic de CloudFlare vers votre serveur n'est pas crypté, ce qui signifie que les fournisseurs de services Internet, les fournisseurs de lignes réseau et les NSA peuvent toujours lire toutes les demandes en texte brut.
- Le trafic est soumis à des attaques de type "homme au milieu" (MITM) lorsqu'un autre serveur peut emprunter l'identité de votre serveur et recevoir son trafic (bien que ce problème s'applique également au paramètre SSL "Complet", vous aurez besoin du mode "Strict" pour éviter ce).
- En raison de ce qui précède, cela donne un sentiment de sécurité trompeur et erroné aux visiteurs de votre site Web (mais ce n’est pas un diatème qui convient à ce lieu)
Comparaison des paramètres SSL
Ne pas chiffrer le trafic entre un proxy et un serveur principal est courant lorsque le trafic est envoyé sur un réseau privé sécurisé. Mais dans ce cas, vous dirigez le trafic sur Internet.
CloudFlare vous recommande également d'installer un certificat sur votre serveur Web pour un vrai cryptage de bout en bout, et même de fournir des certificats gratuits via leur tableau de bord (si vous ne souhaitez pas installer un certificat auto-signé). De la discussion sur le Blog CloudFlare :
En fait, nous fournirons un certificat gratuit épinglé au domaine que vous pouvez installer sur votre serveur pour une cryptographie de bout en bout.
Que vous utilisiez le protocole SSL "complet" ou "flexible", vos utilisateurs ne devraient pas voir de fenêtres contextuelles ni d’autres avertissements.
Ce lien explique ce que les options SSL de CloudFlare .
Le protocole SSL flexible, du moins pour le moment, ne chiffre pas complètement votre serveur. La question discutée sur le blog par Matthew ("En fait, nous allons fournir un certificat gratuit épinglé au domaine que vous pouvez installer sur votre serveur pour le cryptage de bout en bout ... gratuitement") isn ' t disponible pour l'instant.
Nous mettrons certainement à jour le contenu afin de refléter tout changement lors du déploiement de l'option SSL gratuite.