Conexión no cifrada al servidor, ¿es segura?

3

Estoy usando heroku y cloudflare. Voy a lanzar mi sitio web, pero no quiero hacerlo sin SSL.

Ahora siempre necesito un complemento heroku para agregar mis certificados SSL que cuestan $ 20 por mes.

Cloudflare habilita SSL sobre DNS pero estoy un poco curioso. (Así que no necesito obtener el complemento Heroku y puedo asegurar esos $ 20 / mes)

Lo que creo que sucederá se verá así

(user)-> [https]-> (cloudflare ssl)-> [http]-> (myserver)

¿Esto no destruiría completamente el propósito de SSL?

Quiero decir, ¿pueden otros usuarios acceder a la conexión http no cifrada?

Update1:

Hablé con cloudflare y me dijeron que la única forma de que personas no autorizadas obtengan los datos sin cifrar es piratear los servidores de cloudflare, por lo que estoy en el sitio seguro.

¿Alguien puede confirmar esto?

    
pregunta Maik Klein 05.09.2012 - 00:09
fuente

2 respuestas

2

No destruye completamente el propósito de SSL. Sin duda, ofrece algunos beneficios importantes, pero también tiene algunas limitaciones, como lo has identificado correctamente.

Los beneficios: previene la interceptación de datos desde cerca del usuario. Por ejemplo, si el usuario se conecta a través de Wifi abierto, el cifrado SSL a Cloudflare ayudaría.

Las limitaciones: Como usted y otros han identificado correctamente, los datos se envían en texto claro entre los servidores de Cloudflare y sus servidores. Por lo tanto, está abierto a ataques durante ese tiempo. Además, una infracción de seguridad de los servidores de Cloudflare podría exponer sus datos. Además, dependiendo de cómo lo hace Cloudflare, puede ser difícil para los usuarios verificar la validez del certificado SSL que se entrega con su dominio (es posible que desee verificar si los usuarios tienen que hacer clic en las advertencias de cert, y qué dominio es mostrando en la barra de direcciones).

Conclusión: SSL a través de Cloudflare es mejor que nada, pero no es tan bueno como el cifrado de extremo a extremo que termina en su aplicación Heroku. El hecho de que sea lo suficientemente bueno para sus propósitos depende de las decisiones de administración de riesgos, como la importancia de la seguridad de su aplicación y la cantidad de seguridad que necesita.

    
respondido por el D.W. 05.09.2012 - 08:43
fuente
2

No es como si CloudFlare no haya sido hackeado anteriormente. Consulte esto . Además, dado que SSL se termina en CloudFlare, esto significa que los datos van en texto sin formato de CloudFlare a Heroku. Así que cualquier persona en el camino a Heroku desde CloudFlare puede "ver" datos.

    
respondido por el Gaurav Kumar 05.09.2012 - 05:13
fuente

Lea otras preguntas en las etiquetas