Ahora que CloudFlare ofrece SSL gratuito y potencialmente inseguro para todos los usuarios, ¿sería útil un nuevo encabezado HTTP?

4

No estoy seguro de dónde publicar esto, así que pensé que simplemente lo publicaría aquí.

CloudFlare ahora ofrece SSL gratuito a todos los sitios . Sin embargo, hay dos tipos diferentes de conexiones SSL. Hay "SSL flexible" que ejecuta HTTPS en el Cliente < = > Conexión de CloudFlare, pero HTTP regular en CloudFlare < = > Conexión del servidor. Si bien esto es ciertamente mejor que nada, es engañoso para el usuario que piensa que sus datos están completamente encriptados mientras estén conectados.

También hay "Full SSL", que es seguro para todo el usuario < = > CloudFlare < = > Conexión del servidor.

Por lo tanto, propongo un nuevo encabezado HTTP llamado algo así como X-Proxy-Security que podría indicar al agente de usuario cómo el proxy está manejando las conexiones seguras. Su valor podría ser algo así como end-to-end para el cifrado completo de extremo a extremo o client-to-proxy para las conexiones que solo son seguras entre el cliente y el proxy. Lo ideal sería que el encabezado no contenga ninguna referencia específica de CloudFlare ya que hay muchos servidores proxy HTTP como CDN y servicios similares a CloudFlare.

Si se implementara, los navegadores no sabrían cómo manejarlo al principio, por lo que nada cambiaría. Sin embargo, las extensiones del navegador podrían desarrollarse para transmitir el estado al usuario. Los navegadores podrían implementar algún tipo de indicador similar a la forma en que indican el contenido mixto o lo que sea actualmente.

¿Esto funcionaría? ¿Cómo presionaríamos para implementarlo?

    
pregunta Dr. McKay 29.09.2014 - 18:30
fuente

2 respuestas

10

Esto es parte de por qué verificas de quién es el certificado SSL. Si no es el sitio al que está tratando de acceder, salga del infierno. Si cloudssl está utilizando un certificado raíz de forma insegura, como la generación de certificados para cada sitio a pedido, la gente simplemente puede rechazar la autorización de ese certificado raíz. Problema resuelto.

Un nuevo encabezado http para esto no es útil, es excesivo y aún estaría abierto al abuso, ya que nada garantiza que alguien lo configurará correctamente. El mismo nivel de detalle podría incluirse fácilmente en el propio certificado sin necesidad de nuevos encabezados.

    
respondido por el AJ Henderson 29.09.2014 - 19:43
fuente
2

Su encabezado solo sería marginalmente útil en esta situación y no sería útil en la mayoría de las demás situaciones. Solo por algunos ejemplos:

Si Cloudflare cargó el sitio real a través de https, pero estaba en un certificado no verificado y autofirmado, ¿seguiría obteniendo el encabezado de extremo a extremo?

Si era un certificado autofirmado, pero la huella digital del certificado fue verificada manualmente por cloudflare como algo que pertenece al sitio, ¿se obtiene el encabezado de extremo a extremo?

no relacionado con cloudflare, ¿qué pasa con los balanceadores de carga de terminación SSL? Técnicamente, debería ser una configuración de encabezado de "cliente a proxy", pero, francamente, ¿por qué a usted, como usuario, le importaría que su SSL terminara en mi equilibrador de carga al que mi servidor está conectado directamente? Tal vez si mi equilibrador de carga de terminación SSL reenvía el resto de la conexión a través de una red insegura, pero luego tiene que definir 'red segura'. ¿Qué sucede si nginx reenvía la conexión a través de http a través de un vpn?

Hay demasiadas formas diferentes de configurar una red, y ninguna de ellas es algo por lo que los clientes tienen muchos motivos para preocuparse.

Creo que lo que está haciendo Cloudflare está bien aquí. Sí, debería hacer que ellos también usen una conexión segura, pero incluso cuando no lo hacen, no es diferente a cualquier otro sitio SSL.

Si mira en un foro o incluso en stackoverflow, cuando lo carga sobre SSL, se lo envía a través de un enlace cifrado, pero por lo que sabe, el contenido se transfirió mediante una conexión no cifrada a una base de datos que contiene todo el contenido. , cuyo contenido podría haber sido enviado a través de solicitudes http.

    
respondido por el semi 20.10.2014 - 20:35
fuente

Lea otras preguntas en las etiquetas