启用S​​SL的Cloudflare代理如何连接到非SSL端点?

时间:2018-10-23 01:06:37

标签: ssl proxy cloudflare

此处是Cloudflare的新用户。

我有一个A记录,但是我指向的服务器上没有安装任何证书。我知道您可以通过CF进行代理,并且CF在代理端点上设置了免费的SSL。

我的问题是:CF如何安全地连接到我的端点?还是我理解不正确?

我的理解:

我-[启用SSL]-> CF代理-[没有SSL?]->我的服务器

2 个答案:

答案 0 :(得分:1)

  

CF如何安全地连接到我的端点?

由于您没有提供与端点的安全连接,因此Cloudflare无法使用与端点的安全连接。就是说,只有浏览器和Cloudflare之间的连接是安全的,而从Cloudflare到服务器的最终连接却没有。

另请参阅您正在谈论的Flexible SSL option的描述,其中明确指出了问题所在:

  

灵活的SSL:访问者和Cloudflare之间的安全连接,但Cloudflare和Web服务器之间没有安全连接。 ...如果您的网站上有任何敏感信息,则不推荐使用此选项。 ...仅当您无法在自己的Web服务器上设置SSL时,才应将其用作最后的选择。 ...

答案 1 :(得分:1)

简短的答案是,CloudFlare无法通过其免费的SSL证书安全地连接到您的端点。

CloudFlare提供了三种类型的SSL设置,默认设置为“ flexible

  

灵活:它们将通过HTTPS从其基础结构提供内容,但它们与源之间的连接未加密

     

完整:CloudFlare的HTTPS仍是浏览器,但他们也将HTTPS与源进行对话,尽管他们不会验证证书

     

完全(严格):CloudFlare颁发证书,它们将拦截您的流量,但是原始数据全部为HTTPS,并且证书也得到了验证

尽管CloudFlare提供了灵活,免费的SSL证书,向访问者显示了一个安全的HTTPS挂锁,但此 method of SSL 仅存在于CloudFlare和ISP之间,在CloudFlare和您的服务器之间。灵活的证书在50个不同的域之间共享(将每个域公开给访问者),尽管确实可以抵御WiFi监听之类的常见攻击。


灵活:

Flexible


完整:

Full


完全证书还加密了CloudFlare与原始服务器之间的流量,但CloudFlare无法验证证书严格证书可对此进行补救。

如果不确定SSL的质量,建议您 Qualys' SSL Labs test

有关详细信息,请参见 Troy Hunt's article