Cloudflare wird für alle Nutzer SSL aktivieren, auch für die, die selbst noch kein SSL haben. Nutzer meint dabei wirklich Nutzer und nicht Kunden, das gilt nämlich auch für Nutzer des kostenlosen Angebotes. Ich finde, das ist eine großartige Sache.
Cloudflare ist ein Content-Delivery-Network (CDN). Der Nutzer trägt den DNS-Server von Cloudflare ein, dieser löst über das Cloudflare-Netzwerk zur Seite des Nutzers auf und cached dabei. Nutzer aus Australien beispielsweise müssen dann nicht mit meinem Server in Deutschland reden, sondern sie bekommen normalerweise direkt eine schnellere Antwort von einem nahem Server. Das ist aber nicht alles, gleichzeitig optimiert Cloudflare HTML/JS/CSS und filtert Attacken aus, insbesondere DDOSs. Es kann also massiv den Server entlasten.
Wenn ich also Cloudflare so offensichtlich gut finde, warum ist es hier dann nicht aktiviert? Einfach: Mir war https wichtiger. Das unterstützte Cloudflare bisher aber nur im kostenpflichtigem Pro-Plan, $20 pro Monat für meinen kleinen Blog hier waren mir aber viel zu teuer. Das ändert sich nun. Da SSL nun auch kostenlos unterstützt wird, ist der Account schon angelegt (dauert aber noch ein bisschen, bis SSL-Support da ist).
Es gibt jetzt drei verschiedene Modi:
- Wenn die Seite bisher kein SSL kann, wird die Verbindung bis zu Cloudflare verschlüsselt, Cloudflare <--> Seite bleibt unverschlüsselt. Die nennen das Flexible SSL.
- Kann die Seite zwar SSL, aber ist nicht von einer CA zertifiziert, heißt das Full SSL. Also Seiten mit selbstsigniertem Zertifikat oder wohl einer nicht anerkannter CA.
- Ist die Seite regulär signiert (so wie diese hier, was bei StartSSL nichts kostet), nennen sie es Strict SSL.
Die zweite Option, Full SSL, ist derzeit absolut unsicher, weil ein Man-in-the-middle-Angriff von einem selbstsigniertem Zertifikat nicht verhindert wird, was Geheimdiensten auch fleißig nutzen. Gleichzeitig ist es die Option mit dem meisten Potential. Führt Cloudflare in naher Zukunft eine Möglichkeit ein, das selbsterstellte Zertifikat zu pinnen, werden diese mit einem Schlag sicher. Nutzer verbinden sich mit Cloudflare und bekommen daher ein regulär signiertes Zertifikat zu sehen, das der Browser akzeptiert, Cloudflare kann das selbstsignierte Zertifikat auf Echtheit prüfen. Mit einem Schlag würden alle CAs für reguläre Webseitenbetreiber relativ unnötig.
Das ist großartig. Leider hat es den Nachteil, dass die Zentralisierung dieser Sicherheits-Infrastruktur in Cloudflare einen direkten Link zur NSA schafft. Andererseits sind CAs sowieso nie sicher gewesen und https auf Staatsebene kein Schutz, wir verlieren also nichts. Gegen normale Hacker jedoch wird das Betreiben von SSL-geschützten Verbindungen dann nochmal einfacher - und endlich wirklich kostenlos. Denn das ist StartSSL ja nicht, weil die Revokation eines Zertifikats kostet.
Ich kann also nur empfehlen, Cloudflare samt SSL zu aktivieren.
www.onli-blogging.de am : PingBack
Vorschau anzeigen
www.onli-blogging.de am : PingBack
Vorschau anzeigen