¿Cómo puede cloudflare leer la solicitud cifrada sin clave privada? [duplicar]

4

Tenemos Cloudflare en nuestro servidor de producción y el nivel de cifrado es completo, no flexible. Esta página web dice que Cloudflare puede descifrar la solicitud. Pero no le dimos la clave privada de nuestro servidor a cloudflare. ¿Cómo es esto posible? ¿Esto significa que cualquiera puede descifrar la solicitud sin la clave privada del objetivo?

    
pregunta Jonathan L. 19.12.2017 - 02:25
fuente

2 respuestas

2

Una de las formas en que usa cloudflare es estableciendo los registros NS para su dominio en los servidores de nombres de cloudflare que a su vez resuelven www.mydomain.com a sus direcciones IP. Esto significa que cuando vas a la configuración www.mydomain.com con cloudflare, llega a uno de sus servidores. El certificado SSL para ese dominio no es tuyo, es de ellos. Verifique el certificado SSL de su sitio web, verá que se emitió a something.cloudflaressl.com y su dominio es solo uno de los muchos en el Subject Alternative name .

La configuración de "SSL completo" significa que todo el tráfico del cliente a cloudflare es sobre SSL (usando su certificado), y todo el tráfico entre cloudflare y su servidor real también es sobre SSL (usando un certificado que coincide con el nombre de su servidor).

Como puede ver, cloudflare por definición descifra todo el tráfico para su sitio web, pero puede hacerlo porque cloudflare técnicamente es su sitio web. Su servidor real es solo algo de lo que Cloudflare toma datos de cuando no los tiene almacenados en caché. Si lo piensas, ¿de qué otra manera guardaría algo en caché?

    
respondido por el Marc 19.12.2017 - 02:49
fuente
1

Hay varias formas diferentes de configurar Cloudflare:

  1. Puede configurar cloudflare como su proveedor de DNS, la mayoría de los CA considera que la prueba de control de DNS es una prueba válida de control de dominio. Esto permite que cloudflare cree un certificado DV válido con su nombre de dominio.
  2. Puede darle a Cloudflare su clave privada, esto le permite usar el certificado OV o EV.
  3. En los planes de nivel superior, puede usar sin llave SSL , Este le permite utilizar OV y EV sin entregar sus claves.

En todos los casos, sí, cloudflare puede interceptar y modificar cualquier dato que pase a través de él. Esto es necesario porque la forma principal en que funciona Cloudflare es como una capa de almacenamiento en caché de borde, firewall de aplicaciones web y captcha. Todas estas capacidades requieren que puedan ver el contenido de las solicitudes a medida que llegan y / o modificar sus páginas.

Hay varias formas en que puede limitar la autoridad de un proveedor de CDN como cloudflare. Si usa cloudflare para servir archivos estáticos, puede servir a su sitio principal directamente y usar el desarrollador integridad de los recursos o agregue su propio cifrado para evitar modificaciones de los archivos servidos a través de cloudflare. Si utiliza una aplicación nativa como su cliente (por ejemplo, una aplicación de Android), podría fijar el certificado de su sitio, o podría requerir un certificado OV o EV.

Si ejecuta su dominio principal a través de cloudflare, entonces cloudflare es efectivamente tan poderoso como su proveedor de alojamiento.

    
respondido por el Lie Ryan 19.12.2017 - 03:34
fuente

Lea otras preguntas en las etiquetas