我的域名带有通配符SSL证书(https://domainA.com)。我的用户使用自定义子域(https://user1.domainA.com)。我的用户希望使用指向其子域的自定义域(从https://domainB.com到https://user1.domainA.com的CNAME记录)。
这些自定义域的问题是它们在浏览器中抛出SSL警告,因为SSL证书(https://*.domainA.com)上的域名与用于访问该域名的域名不匹配页面(https://domainB.com)。
输入Cloudflare。
通过在https://domainB.com上使用Cloudflare的完整SSL服务,我可以取消SSL警告,以便用户不会遇到任何问题。我知道存在SSL警告(因为禁用Cloudflare会导致警告重新出现),但Cloudflare会默默地解除警告并继续加密。
此外,通过使用完整SSL,理论上我在用户和服务器之间完全加密流量。
我的问题与此解决方案的安全性/合法性有关,要对用户可能希望用于访问其网页的任何域(https://domainB.com,https://domainC.com)应用SSL加密({{3 }})。
这样安全吗?这样安全吗?这是负责任的吗?
答案 0 :(得分:2)
这有几个因素。
一个是您对CloudFlare的信任程度。在解密用户与用户之间的隧道并将其重新加密到源服务器之前,他们将以纯文本形式查看用户的流量。
其次,CloudFlare没有使用完整SSL(非严格)选项对服务器证书进行任何验证。这意味着它不只是关于域匹配:没有任何证书属性:发行者,时间范围等被检查。 因此,有人可以在CloudFlare和你之间进行中间人攻击。
所以,我不会说它非常安全或安全,但它实际上取决于HTTPs频道上传递的数据类型。
如果您非常关注用户的数据,可能值得考虑从https://domainB.com到https://userX.domainA.com的HTTP 301重定向,而不是使用CNAME记录,并使用CloudFlare的完整(严格)SSL 。