SSL flexible NO es completamente seguro
El SSL flexible de CloudFlare proporciona cifrado del usuario a los servidores de CloudFlare, pero no de sus servidores al servidor del sitio web. Esto evita la molestia de instalar (y renovar) un certificado en su servidor web, pero significa que el tráfico se envía texto sin formato durante la segunda mitad del viaje.
Los beneficios de esta configuración son:
- Fácil de comenzar, no es necesario instalar certificados en su servidor web y hacer frente a las renovaciones periódicas
- Proporciona protección contra escuchas ilegales en conexiones WiFi inseguras (cibercafés) y otros en su red local o en el nivel de ISP.
- Los usuarios verán un candado verde en su navegador y no deberían recibir ninguna advertencia de seguridad
Los problemas inherentes son:
- El tráfico de CloudFlare a su servidor no está cifrado, lo que significa que los ISP mayoristas, los proveedores troncales y la NSA aún pueden leer todas las solicitudes en texto sin formato
- El tráfico está sujeto a ataques man-in-the-middle (MITM) donde otro servidor puede hacerse pasar por su servidor y recibir su tráfico (aunque este problema también se aplica a la configuración SSL "Completa", necesitará el modo "Estricto" para evitar esta).
- Debido a lo anterior, proporciona una sensación de seguridad engañosa y falsa a los visitantes de su sitio web (pero esa es una queja no apropiada para este lugar)
Comparación de la configuración SSL
No es común encriptar el tráfico entre un servidor proxy y un servidor de fondo cuando el tráfico se envía a través de una red privada y segura. Pero en este caso, está enrutando el tráfico a través de Internet público.
CloudFlare recomienda que también instale un certificado en su servidor web para un verdadero cifrado de extremo a extremo, e incluso proporcione certificados gratuitos a través de su panel de control para hacerlo (si no desea instalar un certificado autofirmado). De la discusión en el Blog CloudFlare :
En realidad, proporcionaremos un certificado gratuito que está anclado al dominio que puede instalar en su servidor para la criptografía de extremo a extremo.
Ya sea que se use SSL "Completo" o "Flexible", sus usuarios no deberían ver una ventana emergente u otras advertencias.