Cloudflare wird für alle Nutzer SSL aktivieren, auch für die, die selbst noch kein SSL haben. Nutzer meint dabei wirklich Nutzer und nicht Kunden, das gilt nämlich auch für Nutzer des kostenlosen Angebotes. Ich finde, das ist eine großartige Sache.
Cloudflare ist ein Content-Delivery-Network (CDN). Der Nutzer trägt den DNS-Server von Cloudflare ein, dieser löst über das Cloudflare-Netzwerk zur Seite des Nutzers auf und cached dabei. Nutzer aus Australien beispielsweise müssen dann nicht mit meinem Server in Deutschland reden, sondern sie bekommen normalerweise direkt eine schnellere Antwort von einem nahem Server. Das ist aber nicht alles, gleichzeitig optimiert Cloudflare HTML/JS/CSS und filtert Attacken aus, insbesondere DDOSs. Es kann also massiv den Server entlasten.
Wenn ich also Cloudflare so offensichtlich gut finde, warum ist es hier dann nicht aktiviert? Einfach: Mir war https wichtiger. Das unterstützte Cloudflare bisher aber nur im kostenpflichtigem Pro-Plan, $20 pro Monat für meinen kleinen Blog hier waren mir aber viel zu teuer. Das ändert sich nun. Da SSL nun auch kostenlos unterstützt wird, ist der Account schon angelegt (dauert aber noch ein bisschen, bis SSL-Support da ist).
Es gibt jetzt drei verschiedene Modi:
Die zweite Option, Full SSL, ist derzeit absolut unsicher, weil ein Man-in-the-middle-Angriff von einem selbstsigniertem Zertifikat nicht verhindert wird, was Geheimdiensten auch fleißig nutzen. Gleichzeitig ist es die Option mit dem meisten Potential. Führt Cloudflare in naher Zukunft eine Möglichkeit ein, das selbsterstellte Zertifikat zu pinnen, werden diese mit einem Schlag sicher. Nutzer verbinden sich mit Cloudflare und bekommen daher ein regulär signiertes Zertifikat zu sehen, das der Browser akzeptiert, Cloudflare kann das selbstsignierte Zertifikat auf Echtheit prüfen. Mit einem Schlag würden alle CAs für reguläre Webseitenbetreiber relativ unnötig.
Das ist großartig. Leider hat es den Nachteil, dass die Zentralisierung dieser Sicherheits-Infrastruktur in Cloudflare einen direkten Link zur NSA schafft. Andererseits sind CAs sowieso nie sicher gewesen und https auf Staatsebene kein Schutz, wir verlieren also nichts. Gegen normale Hacker jedoch wird das Betreiben von SSL-geschützten Verbindungen dann nochmal einfacher - und endlich wirklich kostenlos. Denn das ist StartSSL ja nicht, weil die Revokation eines Zertifikats kostet.
Ich kann also nur empfehlen, Cloudflare samt SSL zu aktivieren.
Ich würde eher hoffen, dass sich DANE mehr verbreitet als Full SSL von Cloudflare. Damit legitimiert man einem Unternehmen in den USA eine Man-in-the-middle Attacke. Außerdem kann Cloudflare ganz ohne Druck einer Regierung den gesamten Traffic mitlesen und kann (oder vielleicht sogar muss) natürlich auch ein Backdoor für NSA usw. anbieten. Für mich wäre das definitiv ein Schritt in die falsche Richtung.
Es ist nur eine Attacke, wenn es nicht gewollt ist…
Ich schrieb ja oben, ich sehe die Gefahr auch. Aber da Geheimdienste sowieso schon mitlesen können sehe ich da kein echtes Problem. Cloudflare selbst wird mehr daran interessiert sein, nicht bei sowas erwischt zu werden, ohne Druck sammeln die nicht. Die haben ein valides Geschäftsmodell.
DANE klingt nett. Mir ist nicht ganz klar, wie die Verbindung zum DNS-Server gesichert ist, oder ob das egal ist.
Ja, das ist wichtig. DANE funktioniert nur in Verbindung mit dnssec. Und beides ist nicht wirklich verbreitet bzw. noch zu wenig.
Falls dich das Thema interessiert, dieses Froscon Video über DANE ist recht nett, wenn man sich nicht die RFC im Detail anschauen möchte.
http://www.youtube.com/watch?v=q8FC8HOYwQo
Ich hab mir das Video angeschaut. Mir fehlt Wissen über DNSSEC, um zu beurteilen, ob das etwas taugt. Sollte DNSSEC nicht einfach nur das Problem mit den CAs auf die Verbindung zum DNS verlagern könnte DANE eine gute Sache sein.
Hi. Ich müsste mich mit dnssec auch mehr auseinandersetzen, aber ich fürchte du hast Recht, dass die Problematik nur verlagert wird. :/
Das Video ist zwar schon ein bisschen älter, aber immer noch aktuell. Hab es selbst erst heute gesehen und kann es nur empfehlen.
http://www.youtube.com/watch?v=pDmj_xe7EIQ
Sehr gutes Video, Danke für den Link. Nur schade, dass sein convergence-Ansatz zurzeit nicht funktioniert, weil das Firefox-Addon nicht gepflegt wird.
www.onli-blogging.de am : PingBack
Vorschau anzeigen
www.onli-blogging.de am : PingBack
Vorschau anzeigen