我对cloudflare的ssl和使用let的加密感到困惑,让我的网站变得完整https。
许多消息来源说使用或使用两者。 然而,没有非常决定性的方法来确定是使用两者还是仅使用一种。
在大多数情况下,人们喜欢cloudflare,因为它是免费的CDN。 它带有一种设置SSL的简单方法
然而,看起来让我们的加密是下一个重要的事情,如果不了解它,那将是愚蠢的。
有人说Cloudflare就够了.. http://community.rtcamp.com/t/letsencrypt-with-cloudflare/5659
http://pushincome.com/cloudflare-lets-encrypt-free-ssl-setup-ubuntu-apache/
https://flurdy.com/docs/letsencrypt/nginx.html
我想知道设置正常加密的最佳方法是什么才能正常使用cloudflare作为我内容的CDN。
感谢。
答案 0 :(得分:0)
使用HTTPS可以提高您的不可知分数,从而可以毫无顾虑地在没有此功能的CDN提供商之间切换。 这是一个关于您自己的决定的问题,如果有意义只使用Cloudflare通过https建立您的基础架构,以防它是个人项目,或者没有极端的安全合规性。关于安全性,在两个层中都使用https符合国际安全标准,如果您有安全需求且HTTPS服务器和HTTP服务器之间的通道不受保护,请避免仅在一个层中使用。
答案 1 :(得分:0)
一条链只有最薄弱的一环。
如果您保护一个通道而不保护另一通道,则可以减小攻击面,但是设置仍然很容易受到攻击。您的网站流量仍然以纯文本形式流动,无论是在浏览器与Cloudflare服务器之间,还是在Cloudflare服务器与您的原始服务器之间。
在有人故意或无意地偷,劫持,冒充,嗅探,窃听或中间人之前,这只是时间,精力和运气的问题。
此外,您拥有所有工具来进行完全安全的设置,并且它们都是免费的。
这是HTTP与HTTPS的good overview,其中列出了HTTP容易受到的某些攻击。
答案 2 :(得分:0)
使用Cloudflare时,有两个部分需要加密:
这意味着您需要两个证书才能进行完全加密。
Cloudflare自动为您提供第一个。这是用户检查URL挂锁后看到的那个。
有多种方法可以处理Cloudflare>服务器加密。所有这些都是免费的。
选择Cloudflare的“灵活” SSL / TLS加密模式。这不会加密从Cloudflare到您服务器的请求,但是浏览器将显示绿色的挂锁并表示该站点是安全的。如果您使我生气,那有点令人讨厌。
使用“允许加密”在服务器https://certbot.eff.org/lets-encrypt/ubuntufocal-apache上安装证书。您现在可以将Cloudflare的SSL / TLS加密模式设置为“完全(严格)”。我决定不使用此解决方案,因为基本解决方案不适用于负载均衡器。
在您的服务器上安装Cloudflare的原始证书。您可以将其有效期设置为15年,这很不错(至少要等到2035年,您忘记了这一点,然后网站就会崩溃)。以下是Ubunto的路线:Set up Ubuntu Apache2 SSL using .pem and .key from Cloudflare
您还可以创建并安装自己的原始证书,这显然很容易,但是我没有尝试过。
答案 3 :(得分:0)
Cloudflare 实际上有一个 Let's Encrypt CA。我在 cloudflare 上托管了另一个域,使用 Cloudflare 的让我们加密通配符 SSL。加上它自动更新。为了保护您的源服务器,您可以使用 Cloudflare 的 Origin SSL 或使用自签名 SSL,因为没有人可以看到它,它提供相同的安全性,有效期为 15 年以上。
答案 4 :(得分:-1)
您可以做的是转到 SSL/TLS < 边缘证书 < 一直向下滚动直到到达底部 < 单击禁用通用 SSL。
瞧,您可以使用 Cloudflare 的快速 CDN 和 DNS 管理,并且可以免费将 Let's Encrypt 与它集成。