CloudFlare 的基本 SSL 包为您的网站提供 SSL 加密,但仅限于您客户的浏览器和 SSL 终止的 CloudFlare 服务器之间。CloudFlare 和您自己的服务器之间的连接不通过 SSL 提供。
这有多安全?你不想使用这个系统发送什么信息?别人窥探你的 CloudFare -> Server 连接有多容易?
CloudFlare 还提供完整的 SSL 服务,允许您安装自己的证书并加密整个路由,但价格却是其 10 倍。
答案1
最终,对于客户来说,最好的安全措施是拥有端到端 SSL。看起来您只在他们的 Pro 帐户上就可以获得“完整 SSL”,如果您愿意,您可以在自己的个人服务器上使用自签名证书来做到这一点。
如果攻击者想在使用“灵活 SSL”(仅在客户端和 Cloudflare 之间使用 SSL)时拦截流量,则攻击者必须位于 Cloudflare 和您的服务器之间。最容易发生这种情况的地方很可能是您的本地网络,方法是使用 MITM 技术(如 arp 中毒)或通过嗅探线路上的流量(如果他们可以访问具有监控模式的集线器或交换机)。
可以合理地预期,攻击者将无法在您的 ISP 和 Cloudflare 之间进行 MITM 或嗅探连接,除非攻击者是 ISP 之一或更大的政府行为者(例如 NSA)。
如果您要使用任何 SSL,您至少应该抛出一个自签名证书并在您的 Web 服务器上打开端口 443,这样信息就不会以明文形式通过网络传输。我不知道 cloudflare 是否会监视证书的更改,但它至少可以防止嗅探流量并迫使攻击者使用更嘈杂、更具攻击性且可能更容易被注意到的攻击。
编辑:在 SSL 方面,其商业和企业级服务为您提供的唯一服务是,您也可以上传自己的自定义 SSL 证书,供客户使用。例如,如果您想要扩展验证证书。