¿El SSL de CloudFlare está a medio hacer desde que se convirtió en el Hombre en el Medio (MitM)? [duplicar]

Navega tus respuestas
0

Recientemente leí un artículo un tanto divertido en crimeflair.net, cuestionando (lea: asesinando) la forma en que CloudFlare proporciona SSL. En sus palabras: "SSL a medias de CloudFlare: capa de sockets sospechosos" .

Nota: el nombre crimeflair sugiere algún tipo de propaganda contra CloudFlare, y el texto, el diseño y las imágenes del sitio casi me hacen sentir como si estuviera leyendo una teoría de la conspiración. También el artículo tiene algunas teorías y suposiciones no probadas. Pero ...

  

Lasautoridadeslocalespodríanestarolfateandoeltextosinformatodisponibleenestoscentrosdedatos,yCloudFlarenotendríaunapista.

EstomehizopensarenlaformaactualenquefuncionaCloudFlare.CloudFlareesrealmenteunhombreenelmedio,elcifradonuncapuedeserdeextremoaextremoporqueentonceselCDN/proxydeCloudFlarenofuncionará.

ElusodeSSLdeCloudFlareparaagregarunacapaSSL"gratuita" a algún sitio web simple de la panadería local (a medias, ¿entiendes?) me parece poco riesgoso. Pero usar esto en soluciones empresariales con datos confidenciales podría ser una cosa.

¡Probablemente protegerá al usuario final contra el rastreo de la red local y la suplantación de identidad! Dado que la conexión del usuario final a CloudFlare está encriptada. ¿Pero en contra de un gobierno o ISP que simplemente puede leer la conexión sin cifrar detrás del proxy de CloudFlare hacia el servidor de origen? Probablemente no del todo.

  

... no importaría si el servidor de origen tiene su propio certificado.

Recapitulación : CloudFlare podría "asegurar" la disponibilidad mediante sus excelentes funciones anti DDoS, pero podría ser un grave riesgo para la confidencialidad y posiblemente incluso la integridad de la conexión debido a los trucos SSL que necesitan. utilizar.

Libro blanco adicional interesante: "Cuando HTTPS cumple con CDN: un caso de autenticación en servicio delegado" o espejo en ieee.org .

  

Si bien algunos de esos problemas son solo problemas operativos, otros están arraigados en el conflicto semántico fundamental entre la naturaleza de extremo a extremo de HTTPS y la naturaleza de intermediario de CDN que involucra a múltiples partes en un servicio delegado .

Pregunta : ¿Es el SSL de CloudFlare a medio hacer desde que se convirtió en el Hombre en el Medio (MitM)? Y entonces, ¿debería desalentarse?

    
pregunta Bob Ortiz 10.08.2017 - 00:43
fuente

1 respuesta

2

CloudFlare no promete nada que no entreguen. Cualquier proveedor de servicios descifra los datos en el extremo de la nube; Tienen que hacerlo para realizar su servicio. La arquitectura de CloudFlare simplemente lo descifra en el punto de entrada, en lugar de en cada uno de los puntos finales de servicio.

Esto ofrece un par de ventajas para sus clientes: no tienen que hacer nada para mantener sus certificados, y no pagan ninguna penalización de rendimiento o CPU para volver a cifrar el tráfico interno. Mientras tanto, sus clientes ven candados https y se sienten cómodos.

¿Los datos del servidor CloudFlare van en texto claro al servicio web? Por supuesto. ¿Quién puede interceptarlo? Proveedores de red troncal, y otras grandes entidades. En algunos casos son confiables, en otros no lo son.

Pero si la NSA u otra Agencia de Tres Letras tiene una orden, una Carta de Seguridad Nacional u otro deseo de ver los datos, encontrarán una forma con o sin esta arquitectura. En un régimen represivo como Irán, China u otro, van a exigir este acceso de todos modos. Ninguna decisión que tome CloudFlare cambiará nada de eso, por lo que también pueden usar la arquitectura más económica que ofrece el mayor beneficio.

    
respondido por el John Deters 10.08.2017 - 01:11
fuente

Lea otras preguntas en las etiquetas

Autenticación basada en notificaciones para iniciar sesión en un dispositivo ¿Limitar el acceso de archivos al administrador y la aplicación en Windows 10?