Podoba stránky internetovehazardnihry.cz je konečná a nebo můžeme čekat trolling ještě vyšší úrovně? :D
Co se týká samotného článku, tak bych měl otázku ohledně datového limitu. Jaký je a co se stane, když má web větší velikost?
Parametr no-sniff nepatří do hlavičky HSTS, ale do X-Content-Type-Options.
Díval jsem se na certifikát, co Cloudflare poskytuje zákazníkům a moc se mi nelíbí, že je to SAN, který je vydaný pro několik dalších domén jinýchi lidí. Kromě toho, že to je koncepčně zcela špatně, tak se mi nelíbí, že z certifikátu jednoho webu je možné zjistit x dalších validních domén.
Taky zde vidím možnou komplikaci, pokud bych chtěl od Cloudflare odejít a na svoji doménu si pořídit Lets Encrypt certifikát, tak po mě bude LE požadovat důkaz vlastnictví privátního klíče od předchozího certifikátu, co byl použit na Cloudflare (COMODO, které certifikáty vydává je dává do Certificate Transparency). Cloudflare mi privátní klíč nevydá, protože na stejném certifikátu je x dalších domén a já mám smůlu.
Podoba stránky internetovehazardnihry.cz je konečná a nebo můžeme čekat trolling ještě vyšší úrovně? :D
Uvidíme :)
Co se týká samotného článku, tak bych měl otázku ohledně datového limitu. Jaký je a co se stane, když má web větší velikost?
Tvrdí, že „Cloudflare's Free plan has no limit on the amount of bandwidth your visitors use or websites you add.“
Parametr no-sniff nepatří do hlavičky HSTS, ale do X-Content-Type-Options.
Pravda. Na screenshotu je to vidět, nicméně v textu je to až příliš zkráceno. A v rámci Cloudflare se to skutečně nastavuje v ovládacím panelu HSTS.
Díval jsem se na certifikát, co Cloudflare poskytuje zákazníkům a moc se mi nelíbí, že je to SAN, který je vydaný pro několik dalších domén jinýchi lidí. Kromě toho, že to je koncepčně zcela špatně, tak se mi nelíbí, že z certifikátu jednoho webu je možné zjistit x dalších validních domén.
To je obecný problém sdílených hostingů. Ta možnost zjištění dalších domén není žádná velká tragédie, spousta TLD má zónové soubory veřejně dostupné, takže stačí grep na NS záznamy vedoucí do Cloudflare a máme okamžitě mnohem delší seznam.
Taky zde vidím možnou komplikaci, pokud bych chtěl od Cloudflare odejít a na svoji doménu si pořídit Lets Encrypt certifikát, tak po mě bude LE požadovat důkaz vlastnictví privátního klíče od předchozího certifikátu, co byl použit na Cloudflare (COMODO, které certifikáty vydává je dává do Certificate Transparency). Cloudflare mi privátní klíč nevydá, protože na stejném certifikátu je x dalších domén a já mám smůlu.
Ano, kdyby Let's Encrypt skutečně implementovalo kontrolu držení privátního klíče, byl by to problém. Bohužel, tahle funkce nejspíš implementována nebude.
Ahoj,
mám doménu, treba www.cenzuruju.cz a hosuju na adrese http://vlnene-ponozky.webnode.cz/. Lze nějak nastavit tuto proxy tak, abych do prohlížeče zadal www.cenzuruju.cz a obsah to vzalo z domény druhé úrovně? SSL samozřejmě u webnode podporováno není :-/
ty alternativni domeny v SSL certifikatu jsou vase, nebo to tam cloudfare nejak grupuje sam?
DNS:sni96548.cloudflaressl.com, DNS:*.alexandranice.xyz, DNS:*.almatyzhylu.kz, DNS:*.angelburk.xyz, DNS:*.asyakitty.top, DNS:*.bez-vinta.ru, DNS:*.cashregisterny.com, DNS:*.diadiva.top, DNS:*.internetovehazardnihry.cz, DNS:*.jaytaylor.top, DNS:*.lucar.rs, DNS:*.netboot.cz, DNS:*.nspus.com, DNS:*.pensy.top, DNS:*.prof.estate, DNS:*.ricktejeiro.xyz, DNS:*.ricusrebudma.cf, DNS:*.roadtrain.fr, DNS:*.secretlab.name, DNS:*.suttoncoldfieldantiquescircle.org, DNS:*.ultrasoundtechschoolsga.xyz, DNS:*.unlockedseries.com, DNS:*.wotton-firework-display.co.uk, DNS:*.xdwqrz.loan, DNS:alexandranice.xyz, DNS:almatyzhylu.kz, DNS:angelburk.xyz, DNS:asyakitty.top, DNS:bez-vinta.ru, DNS:cashregisterny.com, DNS:diadiva.top, DNS:internetovehazardnihry.cz, DNS:jaytaylor.top, DNS:lucar.rs, DNS:netboot.cz, DNS:nspus.com, DNS:pensy.top, DNS:prof.estate, DNS:ricktejeiro.xyz, DNS:ricusrebudma.cf, DNS:roadtrain.fr, DNS:secretlab.name, DNS:suttoncoldfieldantiquescircle.org, DNS:ultrasoundtechschoolsga.xyz, DNS:unlockedseries.com, DNS:wotton-firework-display.co.uk, DNS:xdwqrz.loan
nedávno jsme to chtěli vyzkoušet pro pripravto.cz , jenže, to že se jim musí dát přístup k doméně a vše na ně přesměrovat se nám vůbec nezdálo. Nepochybuji o tom, že mají vše dobře promyšlené, ale prostě, to, že jim už vše pak patří se nikomu moc nezdálo.
Tušíte jak moc je to používané? jsou nějaké alternativy?
Žádnej přístup k doméně nikomu dávat nemusíš, jen na své doméně nastavíš name servery na ty od cloudflare a tam si nastaví DNS záznamy, to pochopitelně uděláš před změnou NS. Je to uplně stejně jako by ses rozčiloval že si např u wedosu spravuješ doménu.
To že v jima vygenerovaným certu sou i jiné domény je logické, nebudou ve free verzi přeci generovat co doména to cert. Osobně v tom nevidím problém. Pokud ti jde o šifrování, může ti bejt jedno jestli je cert od LE nebo od cloudflare. Pokud ti jde o nějakou důvěru a chceš mít zelenou lištu, asi těžko budeš používat cert u kterého se neověřuje vlastník, ale jen nadvláda nad serverem.
Za mě cloudflare super free verze pro mnoho webů plně dostačuje.
Jsem nějaký natvrdlý, asi to v článku je, ale potřeboval bych to víc pro blbce.
Když mám někde hosting, kde chtějí peníze za certifkát a nechtějí mi bezplatně zprovoznit https ani přes letsencrypt dalo by se použít Cloudfare tak že by klienti se spojovali s webem přes cloudfare přes https (jde to přesměrovat automaticky z http?) a pak mezi Cloudfare a webem http ? Jak je to velký bezpečnostní problém pouze to http?
Tak to samozřejmě jde. O přesměrování se budou muset postarat Page Rules na straně Cloudflare plus budete možná chtít v nastavení Cloudflare zapnout automatické přepisování odkazů na HTTPS.
To http může pořád kdokoliv odposlechnout, sice ne mezi návštěvníkem a Cloudflare, ale mezi Cloudflare a hostingem už ano. A pak taky trochu ideologický problém, kdy návštěvník si bude myslet, že komunikuje zcela šifrovaně, ale ve skutečnosti to není úplně pravda.
No může to někdo mezi koncovým serverem a Cloudflare odposlechnout, ale:
* Největší riziko bývá mezi klientem a serverem, například Wi-Fi sítě a útoky přes nástroje jako Pineapple. Tyto útoky jsou typicky řádově jednodušší a levnější než na spojení mezi CloudFlare a koncovým serverem.
* Pokud může útočník a modifikovat spojení mezi CloudFlare a koncovým serverem, nejspíše si zvládne vydat i domain-validated certifikát, například od Let's Encrypt. Ano, je to nápadnější forma útoku, ale i tak…
* Pokud je pár korun za HTTPS na sdíleném hostingu velký problém, snad se jedná o nějaký low-profile web a ne třeba o internetbanking. ☺ Pak to může být bráno jako adekvátní zabezpečení. Necíleným a jednodušším cíleným útokům by to mělo typicky odolat.
po migraci na CF nedobehne SSL test, ani na domene uvedene v clanku:
https://ssl-tools.net/webservers/internetovehazardnihry.cz
visi na: Fetching Certificate
Nikdy mi nedošlo jaká ohavnost CloudFlare je :/
IMHO
1. certifikát na 15 let?
2. vychozí nastavení nešifruje mezi CF a klientem?
Určitě, CF ohromě zjednodušuje získání "A+" z SSL Labs, ale zároveň naprosto neskutečným způsobem podkopává veškerou snahu Let's Encrypt a naprosto hazarduje s bezpečnostá klientů. Dává jim falešný pocit zeleného zámečku v liště prohlížeče, který je tak pracně učíme kontrolovat.
BTW jde nějak zjistit, jestli je SSL spojení i mezi CF a zdrojovým serverem?
Ad 1, na rozdíl od veřejné PKI, pro tyto certifikáty bez problému funguje revokace a to v reálném čase. Jejich pravidelná výměna tedy v podstatě není nutná. Na druhou stranu nabízejí i platnost 7 dní a API pro pravidelné obnovování, takže i paranoici si přijdou na svoje.
Ad 2, přesněji řečeno, výchozí je použití HTTP. Když si někdo nastaví HTTPS a nezabezpečí cestu ke zdrojovému serveru, je to jeho boj a jeho plná odpovědnost. Je to podobné, jako když někdo má HTTPS web a při vyžádání hesla jej pošle nešifrovaným e-mailem u kterého ani nešifruje přenos.
Falešný pocit bezpečí bych v tom neviděl, zelený zámeček říká jen, že do spojení nezasahoval nikdo mezi „oblastí působnosti klienta“ a „oblasti působnosti provozovatele webu“. Zelený zámeček nikdy nic neříkal a neříká o tom, jak protistrana se šifrovanými daty naloží. Všechno od Cloudflare po zdrojový server je oblastí působnosti a zodpovědnosti provozovatele webu.
To, jestli je SSL spojení ke zdrojovému serveru se z pozice třetí strany zjistit nedá. Cloudflare záměrně vyzrazuje naprosté minimum informací o zdrojových serverech.
Falešný pocit bezpečí bych v tom neviděl, zelený zámeček říká jen, že do spojení nezasahoval nikdo mezi „oblastí působnosti klienta“ a „oblasti působnosti provozovatele webu“.
z pohledu klienta jde o falesnou informaci, nebot pro neho neni provozovatelem webu Cloudflare, ale ten, jehoz web je za Cloudflare schovany a bezi pres http...
Internet Info Root.cz (www.root.cz)
Informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.