क्या क्लाउडफ्लेयर के "लचीले एसएसएल" के लिए कोई नुकसान हैं?

Cloudflare आपको SSL पर अपनी साइट की सेवा करने देता है, बिना सुरक्षा प्रमाणपत्र खरीदे और स्थापित किए, एक उत्पाद जिसे वे “Flexible SSL” कहते हैं । (वे एक प्रॉक्सी के रूप में कार्य करते हैं और अपने सर्वर से एसएसएल पर आपकी साइट की सेवा करते हैं, जबकि आपके सर्वर से उनका कनेक्शन अनएन्क्रिप्टेड रहता है।)

वे वर्तमान में मुफ्त में लचीले एसएसएल की पेशकश करते हैं ।

Google की इस घोषणा के साथ कि HTTPS अब एक रैंकिंग संकेत है , मैं कई साइटों को Cloudflare पर स्विच करने, प्रो खाता खरीदने और उनके "लचीले एसएसएल" विकल्प को चालू करने पर विचार कर रहा हूं, क्योंकि यह HTTPS के बिना कई साइटों की सेवा करने का सबसे आसान तरीका लगता है कई प्रमाणपत्र खरीदने और प्रबंधित करने के लिए।

क्या Cloudflare के Flexible SSL का कोई नकारात्मक पहलू है?

मैं Cloudflare को प्रॉक्सी के रूप में उपयोग करने में सहज हूँ - मुझे दो कारकों में अधिक दिलचस्पी है:

1. अंत उपयोगकर्ताओं के लिए अनुभव। (जैसे क्या आगंतुक सुरक्षा चेतावनी देखेंगे?)
2. सुरक्षा के स्तर की पेशकश की। (सरल ब्लॉग के लिए पर्याप्त है, लेकिन एक ऑनलाइन दुकान के लिए नहीं, क्योंकि वे आपके सर्वर से क्रेडिट कार्ड डेटा को अनएन्क्रिप्टेड कर देंगे?)

लचीला एसएसएल पूरी तरह से सुरक्षित नहीं है

CloudFlare के लचीले एसएसएल CloudFlare के सर्वर पर उपयोगकर्ता से एन्क्रिप्शन प्रदान करता है, लेकिन नहीं अपने सर्वर से वेबसाइट सर्वर से। यह आपके वेब सर्वर पर एक प्रमाण पत्र को स्थापित करने (और नवीनीकृत करने) की परेशानी से बचा जाता है, लेकिन इसका मतलब है कि ट्रैफ़िक को यात्रा के दूसरे भाग में सादा पाठ भेजा जाता है।

इस सेटअप के लाभ हैं:

• आरंभ करने में आसान, अपने वेब सर्वर पर प्रमाणपत्र स्थापित करने और आवधिक नवीकरण से निपटने की कोई आवश्यकता नहीं है
• असुरक्षित वाईफाई कनेक्शन (इंटरनेट कैफे) और अन्य पर अपने स्थानीय नेटवर्क या आईएसपी स्तर पर ईव्सड्रॉपिंग से सुरक्षा प्रदान करता है।
• उपयोगकर्ता अपने ब्राउज़र में एक हरे रंग का पैडलॉक देखेंगे और उन्हें कोई सुरक्षा चेतावनी नहीं मिलनी चाहिए

अंतर्निहित समस्याएं हैं:

• CloudFlare से आपके सर्वर पर ट्रैफ़िक एन्क्रिप्ट नहीं किया गया है, जिसका अर्थ है थोक ISP, ट्रंक प्रदाता और NSA अभी भी सादे-पाठ में सभी अनुरोधों को पढ़ सकता है
• ट्रैफ़िक सब्जेक्ट मैन-इन-द-मिडिल (MITM) अटैक है, जहाँ एक और सर्वर आपके सर्वर को इंसर्ट कर सकता है और उसका ट्रैफ़िक प्राप्त कर सकता है (हालाँकि यह समस्या "पूर्ण" SSL सेटिंग पर भी लागू होती है, आपको बचने के लिए "स्ट्रिक्ट" मोड की आवश्यकता होगी। इस)।
• उपरोक्त के कारण, यह आपके वेब साइट आगंतुकों को सुरक्षा की भ्रामक और झूठी भावना प्रदान करता है (लेकिन यह इस साइट के लिए उपयुक्त नहीं है)

एसएसएल सेटिंग्स की तुलना

जब एक निजी, सुरक्षित नेटवर्क पर ट्रैफ़िक भेजा जाता है, तो प्रॉक्सी और बैकएंड सर्वर के बीच ट्रैफ़िक को एन्क्रिप्ट नहीं करना आम बात है। लेकिन इस मामले में, आप सार्वजनिक इंटरनेट पर ट्रैफ़िक को रूट कर रहे हैं।

CloudFlare अनुशंसा करता है कि आप सच्चे अंत-टू-एंड एन्क्रिप्शन के लिए अपने वेब सर्वर पर एक प्रमाण पत्र भी स्थापित करें, और यहां तक ​​कि ऐसा करने के लिए उनके डैशबोर्ड के माध्यम से नि: शुल्क प्रमाण पत्र प्रदान करें (यदि आप स्व-हस्ताक्षरित प्रमाणपत्र स्थापित नहीं करना चाहते हैं)। CloudFlare ब्लॉग पर चर्चा से :

वास्तव में, हम एक निःशुल्क प्रमाणपत्र प्रदान करेंगे जो उस डोमेन पर पिन किया जाएगा जिसे आप अपने सर्वर पर एंड-टू-एंड क्रिप्टो के लिए इंस्टॉल कर सकते हैं।

चाहे "पूर्ण" या "लचीला" एसएसएल का उपयोग किया जाता है, आपके उपयोगकर्ताओं को पॉप-अप या अन्य चेतावनी नहीं देखनी चाहिए।

यह लिंक बताता है कि CloudFlare SSL विकल्प क्या हैं।

लचीले एसएसएल, कम से कम इस समय, आपके सर्वर पर पूरी तरह से एन्क्रिप्ट नहीं होता है। मैथ्यू द्वारा ब्लॉग पर चर्चा की जा रही है ("वास्तव में, हम एक मुफ्त प्रमाणपत्र प्रदान करेंगे जो उस डोमेन पर पिन किया जाएगा जिसे आप अपने सर्वर पर एंड-टू-एंड क्रिप्टो के लिए स्थापित कर सकते हैं .... मुफ्त में") isn ' अभी तक उपलब्ध टी।

जब हम निःशुल्क SSL विकल्प को रोल आउट करते हैं, तो हम किसी भी परिवर्तन को प्रतिबिंबित करने के लिए सामग्री को निश्चित रूप से अपडेट करेंगे।

एक बड़ा एसईओ नुकसान है। Google ने कहा कि यह एसएसएल साइटों का पक्षधर है, लेकिन प्रमाण पत्र 2048 बिट क्लाउडफ्लारे का होना चाहिए "लचीला एसएसएल" 2048 बिट नहीं है।