CloudFlare 提供了 ssl 支持。但是,如果访问者访问了受 CloudFlare 保护的网站,CloudFlare 是否能够知道此次访问期间传输的明文数据?
有几个 SSL 选项:
- 灵活的 SSL
- 完整的 SSL
- 完整 SSL(严格)
我知道对于 Flexible SSL,CloudFlare 可能知道纯文本数据,因为该数据已被 CloudFlare 解密并以不安全的方式发送到 Web 服务器。
那么完整 SSL 和完整 SSL(严格)呢?CloudFlare 是否先解密,然后再次加密以发送到 Web 服务器?
答案1
请参阅文档
Cloudflare 的文档对此相当清楚。显然(应该是显而易见的)灵活的 SSL 意味着从 cloudflare 到源的连接是未加密的。
对于完整 SSL (任一排列),适用以下规定:
加密您的网站访问者和 CloudFlare 之间的连接,以及从 CloudFlare 到您的服务器的连接。
他们是两个不同的连接,所以“cloudflare 知道解密后的内容吗?”的答案是:“是的”。
请注意,对于 EV 或 OV SSL 证书 -您需要将它们上传到 cloudflare 以便最终用户查看, 它是仍然2 个连接 - 不是端到端加密。
使用 SSL 的原因
使用 SSL 可防止 MITM 攻击,这并不意味着您使用的 cdn 对其提供的内容一无所知。您也许应该问问自己为什么要加密连接。
如果没有 SSL,MITM 攻击可能发生在很多地方:
使用灵活的 SSL - 可以消除大多数但不是全部的问题:
使用完整 SSL - 有仍然发生 MITM 攻击的可能性:
使用完整 SSL(严格) - 现在不可能在不损害 cloudflare 本身的情况下进行 MITM 攻击:
如果您担心 cloudflare 可以读取您的数据 -不要使用 cloudflare。