ssl - 同时使用 SSL 和 Cloudflare 是一个好的过程吗?
问题描述
几个月前,我为我的公司创建了以下网站:www.mydomain.co.uk。我使用 Lightsail / Bitnami 创建了它,作为此过程的一部分,我使用“LetEncrypt”工具创建了一个 SSL。我还设置了提供 SSL/TLS 加密的 Cloudflare。网站运行了几个月,昨天它停止工作 - 我怀疑这是因为 Bitnami SSL 证书已过期。所以我将 Cloudflare SSL/TLS 设置从“完整(严格”)设置为“完整”,现在可以正常工作了。
那么我需要更新 SSL 证书吗?还是在我使用 Cloudflare 时它已过时?
谢谢 :-)
解决方案
Cloudflare 提供的 SSL 仅保护客户端和 Cloudflare 之间的连接,而不保护 Cloudflare 和您的服务器之间的连接。为保护此连接,您需要在自己的服务器上使用 SSL,即使用 Cloudflare 并不会淘汰此处使用 SSL。
一些攻击者在客户端和 Cloudflare 之间的机会比攻击者在 Cloudflare 和您的服务器之间的机会要高得多。在服务器中,攻击者通常靠近客户端,即通常在同一个网络中,例如在开放的 WiFi 热点中或通过创建恶意热点。这种攻击不需要太多的努力和专业知识。与此相反,Cloudflare 与您的主机之间的渗透连接要困难得多,但政府或其他拥有更多资源的攻击者可以做到这一点。
完全安全不会检查证书,因此只能防止被动嗅探连接。它不能防止攻击者拦截流量、对其进行解密以便可以读取、修改和清除并再次重新加密的中间人攻击。为了防止这种攻击,必须使用正确有效的证书,并且需要配置 Cloudflare 以正确验证它,即完全严格。虽然主动攻击比被动攻击需要更多的网络访问权限,但它们并不超出高级攻击者的范围。所以最好使用有效的证书并打开完全严格的开关。
推荐阅读
- spring - spring-boot 自定义 Jetty SSLContextFactory
- asp.net - MSBUILD : 错误 MSB1011: 指定要使用的项目或解决方案文件,因为此文件夹包含多个项目或解决方案文件
- c - 如何获得 3D 矩阵中数组的大小?
- web-services - 如何仅从请求中提取请求文件的名称?
- c# - 为我的沙盒游戏在鼠标位置实例化预制件
- css - woocommerce问题使产品页面响应
- python-3.x - Asyncio 不比线程工作更好?
- azure-cosmosdb - Azure CosmosDb Gremlin API,克隆顶点,编译错误
- reactjs - 如何提供 props.history push 作为函数的参数
- javascript - 使用 Tooltipster 显示动态数据的 AJAX 调用