Názory k článku Webhosting s Cloudflare: bezpečná CDN zdarma

Minimálně při validaci přes DNS nevyžaduje LE důkaz vlastnictví předchozího privátního klíče.

Podoba stránky internetoveha­zardnihry.cz je konečná a nebo můžeme čekat trolling ještě vyšší úrovně? :D

Uvidíme :)

Co se týká samotného článku, tak bych měl otázku ohledně datového limitu. Jaký je a co se stane, když má web větší velikost?

Tvrdí, že „Cloudflare's Free plan has no limit on the amount of bandwidth your visitors use or websites you add.“

Parametr no-sniff nepatří do hlavičky HSTS, ale do X-Content-Type-Options.

Pravda. Na screenshotu je to vidět, nicméně v textu je to až příliš zkráceno. A v rámci Cloudflare se to skutečně nastavuje v ovládacím panelu HSTS.

Díval jsem se na certifikát, co Cloudflare poskytuje zákazníkům a moc se mi nelíbí, že je to SAN, který je vydaný pro několik dalších domén jinýchi lidí. Kromě toho, že to je koncepčně zcela špatně, tak se mi nelíbí, že z certifikátu jednoho webu je možné zjistit x dalších validních domén.

To je obecný problém sdílených hostingů. Ta možnost zjištění dalších domén není žádná velká tragédie, spousta TLD má zónové soubory veřejně dostupné, takže stačí grep na NS záznamy vedoucí do Cloudflare a máme okamžitě mnohem delší seznam.

Taky zde vidím možnou komplikaci, pokud bych chtěl od Cloudflare odejít a na svoji doménu si pořídit Lets Encrypt certifikát, tak po mě bude LE požadovat důkaz vlastnictví privátního klíče od předchozího certifikátu, co byl použit na Cloudflare (COMODO, které certifikáty vydává je dává do Certificate Transparency). Cloudflare mi privátní klíč nevydá, protože na stejném certifikátu je x dalších domén a já mám smůlu.

Ano, kdyby Let's Encrypt skutečně implementovalo kontrolu držení privátního klíče, byl by to problém. Bohužel, tahle funkce nejspíš implementována nebude.

Ahoj,
mám doménu, treba www.cenzuruju.cz a hosuju na adrese http://vlnene-ponozky.webnode.cz/. Lze nějak nastavit tuto proxy tak, abych do prohlížeče zadal www.cenzuruju.cz a obsah to vzalo z domény druhé úrovně? SSL samozřejmě u webnode podporováno není :-/

S Cloudflare ne, zdrojový server musí používat stejné doménové jméno. TLS směrem ke zdrojovému serveru možné vypnout je (ale pak to není moc bezpečné).

ty alternativni domeny v SSL certifikatu jsou vase, nebo to tam cloudfare nejak grupuje sam?

DNS:sni96548.clou­dflaressl.com, DNS:*.alexandra­nice.xyz, DNS:*.almatyz­hylu.kz, DNS:*.angelbur­k.xyz, DNS:*.asyakit­ty.top, DNS:*.bez-vinta.ru, DNS:*.cashregis­terny.com, DNS:*.diadiva.top, DNS:*.interne­tovehazardnih­ry.cz, DNS:*.jaytaylor­.top, DNS:*.lucar.rs, DNS:*.netboot.cz, DNS:*.nspus.com, DNS:*.pensy.top, DNS:*.prof.estate, DNS:*.rickteje­iro.xyz, DNS:*.ricusre­budma.cf, DNS:*.roadtrain.fr, DNS:*.secretlab­.name, DNS:*.suttoncol­dfieldantiques­circle.org, DNS:*.ultrasou­ndtechschoolsga­.xyz, DNS:*.unlocked­series.com, DNS:*.wotton-firework-display.co.uk, DNS:*.xdwqrz.loan, DNS:alexandra­nice.xyz, DNS:almatyzhylu.kz, DNS:angelburk.xyz, DNS:asyakitty.top, DNS:bez-vinta.ru, DNS:cashregis­terny.com, DNS:diadiva.top, DNS:interneto­vehazardnihry­.cz, DNS:jaytaylor.top, DNS:lucar.rs, DNS:netboot.cz, DNS:nspus.com, DNS:pensy.top, DNS:prof.estate, DNS:ricktejei­ro.xyz, DNS:ricusrebud­ma.cf, DNS:roadtrain.fr, DNS:secretlab.name, DNS:suttoncol­dfieldantiques­circle.org, DNS:ultrasoundtechscho­olsga.xyz, DNS:unlockedse­ries.com, DNS:wotton-firework-display.co.uk, DNS:xdwqrz.loan

Dělají to automaticky, uživatel to nemůže ovlivnit. Jen v dražších tarifech je možnost nahrání vlastního certifikátu.

Nejspíš respektuje hlavičky Cache-Control. Pro špatně napsané webové aplikace je nejspíš možné cachování potlačit na určitých cestách pomocí dalších Page Rules.

Jinak přes Cloudflare bez problému projde živé MJPEG video a mají i podporu WebSockets.

Tak to samozřejmě jde. O přesměrování se budou muset postarat Page Rules na straně Cloudflare plus budete možná chtít v nastavení Cloudflare zapnout automatické přepisování odkazů na HTTPS.

To http může pořád kdokoliv odposlechnout, sice ne mezi návštěvníkem a Cloudflare, ale mezi Cloudflare a hostingem už ano. A pak taky trochu ideologický problém, kdy návštěvník si bude myslet, že komunikuje zcela šifrovaně, ale ve skutečnosti to není úplně pravda.

No může to někdo mezi koncovým serverem a Cloudflare odposlechnout, ale:

* Největší riziko bývá mezi klientem a serverem, například Wi-Fi sítě a útoky přes nástroje jako Pineapple. Tyto útoky jsou typicky řádově jednodušší a levnější než na spojení mezi CloudFlare a koncovým serverem.
* Pokud může útočník a modifikovat spojení mezi CloudFlare a koncovým serverem, nejspíše si zvládne vydat i domain-validated certifikát, například od Let's Encrypt. Ano, je to nápadnější forma útoku, ale i tak…
* Pokud je pár korun za HTTPS na sdíleném hostingu velký problém, snad se jedná o nějaký low-profile web a ne třeba o internetbanking. ☺ Pak to může být bráno jako adekvátní zabezpečení. Necíleným a jednodušším cíleným útokům by to mělo typicky odolat.

Ona je taky otázka, kde je ta hranice. Http může běžet po loopbacku, po lokální síti, po Internetu… Co je ještě OK a co už ne?

On i ten loopback může být riskantní, pokud je útočníkem lokální uživatel s oprávněním poslouchat na onom portu…

A je to chyba CloudFlare, nebo ssl-tools.net?

Ad 1, na rozdíl od veřejné PKI, pro tyto certifikáty bez problému funguje revokace a to v reálném čase. Jejich pravidelná výměna tedy v podstatě není nutná. Na druhou stranu nabízejí i platnost 7 dní a API pro pravidelné obnovování, takže i paranoici si přijdou na svoje.

Ad 2, přesněji řečeno, výchozí je použití HTTP. Když si někdo nastaví HTTPS a nezabezpečí cestu ke zdrojovému serveru, je to jeho boj a jeho plná odpovědnost. Je to podobné, jako když někdo má HTTPS web a při vyžádání hesla jej pošle nešifrovaným e-mailem u kterého ani nešifruje přenos.

Falešný pocit bezpečí bych v tom neviděl, zelený zámeček říká jen, že do spojení nezasahoval nikdo mezi „oblastí působnosti klienta“ a „oblasti působnosti provozovatele webu“. Zelený zámeček nikdy nic neříkal a neříká o tom, jak protistrana se šifrovanými daty naloží. Všechno od Cloudflare po zdrojový server je oblastí působnosti a zodpovědnosti provozovatele webu.

To, jestli je SSL spojení ke zdrojovému serveru se z pozice třetí strany zjistit nedá. Cloudflare záměrně vyzrazuje naprosté minimum informací o zdrojových serverech.