Сеть доставки контента CloudFlare ввела в строй (https://blog.cloudflare.com/introducing-universal-ssl/) ...новый сервис, позволяющий бесплатно обеспечить SSL-шифрование для любого сайта, без необходимости приобретения/продления сертификатов в удостоверяющем центре и без настройки ключей. В простейшем случае, трафик от сайта до сервера CloudFlare может передаваться без шифрования, а от CloudFlare к посетителю с применением защищённого соединения. Доступна также возможность установки SSL-ключей на обслуживающий сайт сервер, в этом случае шифрование будет осуществляться и на всех этапах.Для использование функции требуется регистрация (https://www.cloudflare.com/sign-up) в сервисе и перенаправление трафика в CDN путем внесения изменений в DNS. В форме настройки требуется передача ведения DNS-зоны на серверы CloudFlare, но после показа списка DNS-серверов, предлагаемых для изменения, можно посмотреть выдаваемый ими IP фронтэнда CDN и поменять параметры DNS на своей стороне. Для платных аккаунтов Universal SSL становится доступен сразу, а для бесплатных - в течение 24 часов. Universal SSL может работать во всех современных браузерах, поддерживающих TLS-расширение SNI (http://en.wikipedia.org/wiki/Server_Name_Indication) (Server Name Indication). Из не поддерживающих SNI браузеров можно отметить Internet Explorer из состава Windows XP и штатный браузер платформы Android, поставляемый до выпуска Ice Cream Sandwich.
URL: https://blog.cloudflare.com/introducing-universal-ssl/
Новость: http://www.opennet.me/opennews/art.shtml?num=40704
Круто!
Аж два раза:> трафик от сайта до сервера CloudFlare может передаваться без шифрования,
Ну да, мы верим на слово что они не зазеркалят его АНБ, не сольют данные маркетоидам в обмен на звонкие монеты и что там еше.
Так-то круто конечно, но много их IP содержатся в реестре запрещённых сайтов роскомнадзора. Пришлось несколько сайтов снять с CloudFlare.
> Так-то круто конечно, но много их IP содержатся в реестре запрещённых сайтов
> роскомнадзора. Пришлось несколько сайтов снять с CloudFlare.Да они вообще погано работают с ex-USSR - на всю страну несколько IP, при том половину роскомсовок забанил, видимо от большого умища.
> Да они вообще погано работаютвот на этом иожно остановиться. когда некое загадочное дерьмище требует у меня включить жабоскрип, чтобы доказать, что я не бот… то есть, люди совершенно не понимают, видимо, что делают и как это должно работать. например, не понимают, что как раз боту совершенно пофигу, на той же винде использовать движок IE со включеными скриптами нет вообще никакой проблемы (знаю, использовал, вдобавок на чистых сях, гыг), и оно прекрасно проходит «бототест». а человек, который скрипты выключил ради своего удобства, оказывается ботом.
денег на кучу серверов имеют, мозгов не имеют.
перейти на Pro план, и пользоваться без проблем. Правда я не нашел там Universal SSL.
Подключаясь к веб-серверу по SSL пользователь предполагает, что трафик от него до веб-сервера зашифрован и не может быть прослушан третьими лицами. А тут получается, что трафик может быть прослушан как минимум администраторами CloudFare (и АНБ, т. к. это штатовская компания) и, возможно, еще и будет передан от серверов CloudFare до конечного веб-сервера незащищенным. Ну и нахрена такой SSL нужен?
Чтобы хотя бы полпути зашифровать.
И создать для пользователя ложную видимость защищенности его данных.
Для галочки.
Тебе есть что скрывать от спецслужб?
> Тебе есть что скрывать от спецслужб?А скрывать надо обязательно именно от спецслужб? И только ту информацию, которая может заинтересовать именно спецслужбы? Кроме них, конечно, никто ничего плохого с вашей информацией не сделает.
И все что не интересует спецслужбы (и/или и так им известно) вообще не надо скрывать и защищать?
> И все что не интересует спецслужбы (и/или и так им известно) вообще
> не надо скрывать и защищать?Да вот знаете, после норд-оста операторские базы подозрительно оперативно появились на всех лотках. Видимо, бабло побеждает зло не только у коммерсантов.
> Тебе есть что скрывать от спецслужб?Нет. Просто общество, в котором каждый постоянно знает, что за ним присматривают, рискует стать очень похожим на известную антиутопию. А еще в службах случаются недобросовестные сотрудники, использующие информацию в личных целях (у Сноудена об этом было). А еще используя обсуждаемый сервис вы упрощаете слежку за своими пользователями для АНБ, в то же время усложняя работу для наших (нехорошо как-то получается).
Ну и как вам уже ответили, дело тут далеко не только в спецслужбах.
Это не их собачье дело, есть ли мне что скрывать.
> Тебе есть что скрывать от спецслужб?А спецслужбы МЕНЯ защищать в гробу видали. Вот горстку властьимущих от всех остальных - это еще может быть. И то, в штатах АНБ вполне самостоятельная шарага, живущая своей жизнью, имеющая расширенные полномочия и зачастую фигарящая на своей волне. Этакое государство в государстве.
Так можно же шифровать своими ключами. До самого cloudflare. Единственно, на самом cloudflare всё будет прозрачно. Но зато исключит четвёртых лиц. :)
> Ну и нахрена такой SSL нужен?Вот именно. Зачем это было создано? Как они собираются это продавать? Неужели они взаправду думают, что на это будет спрос?
Не всем владельцам сайтов нужно шифрование, но некоторые предпочитают через https на сайты ходить, как то так :).
> Не всем владельцам сайтов нужно шифрование, но некоторые предпочитают через httpsКруто. Некоторые предпочитают шифрование, а вы предпочитаете их подставить. За такое в приличном обществе канделябрами по роже бьют!
Ну, у CloudFlare еще есть Keyless SSL http://arstechnica.com/information-technology/2014/09/in-dep.../
> Ну, у CloudFlare еще есть Keyless SSL http://arstechnica.com/information-technology/2014/09/in-dep.../И в этом случае CloudFlare тоже сможет просматривать весь трафик, который через них проходит.
MitM, бессмысленный и беспощадный.
Так оно же и было такое. Только что в платных аккаунтах. Вся новость в том что сделали бесплатно?
> трафик от сайта до сервера CloudFlare может передаваться без шифрования, а от CloudFlare к посетителю с применением защищённого соединения.Мне одному кажется, что польза от SSL в данном случае нивелируется?
> Мне одному кажется, что польза от SSL в данном случае нивелируется?И даже уходит в минус - по пути заведомо есть MITM получающий расшифрованный траффик.
>> трафик от сайта до сервера CloudFlare может передаваться без шифрования, а от CloudFlare к посетителю с применением защищённого соединения.
> Мне одному кажется, что польза от SSL в данном случае нивелируется?Полезная защита от сниферов при доступе к сайту через открытые WiFi сети.
А спецслужбы и так могут перехватить (почти) любой трафик.
Шифровка только на другом конце? да они упоролись
да ну их... пойду лучше фотошоп представлять
Хз, кроме как для домашних сервисов (и корпоративной профанации) применения не вижу, но тогда оно должно работать с динамик днс =) Давать сертификат на имена типа home.dyndns.org может?
Как бы эту хрень обнаружить и забанить при подключении к серверу?..
> Как бы эту хрень обнаружить и забанить при подключении к серверу?..https://support.mozilla.org/en-US/questions/987284
Under Tools → Options → Advanced → Encryption, make sure you have "Use TLS 1.0" enabled.
Правда, у этого есть минус. Если сайт с сертификатом находится на публичном хостинге, то Вы с ним работать не сможете, ибо именно для этого, собственно, SNI изначально и создавался.
1. Нет такой опции в последнем FF.
2. TLS 1.0 менее надежен.
У CloudFlare есть сертификат для любого имени домена?
> У CloudFlare есть сертификат для любого имени домена?надо полагать, у них есть либо сертификат root ca (глобалсайна видимо), либо intermediate, полностью ему эквивалентный.
При этом сертификат для любого имени домена оно может сгенерить на ходу. Метода давным-давно практикуется производителями файрволов (в том числе был прецедент предоставления такого вот intermediate ca, вызвавший много шума).Проверить может любой желающий, зарегистрившись и подождав 24 часа. Мне лень. Соответственно, рецпет для того кто тут плакал, что не знает как, бедненький, защититься, банален и прост - удалить этот CA из своих списков.
Но, как обычно, эти хомячиные писки - ни о чем. Полно нормальных, не вайлдакрдовых, честно подписанных самыми осторожными и благонадежными ca и выданных конкретным сайтам сертификатов, благополучно размещенных на банальных shared-хостингах (не всегда даже - защищенных от кражи соседями по платформе).
Как хомячки живут в таком ужасном мире - ума не приложу ;-)
DNS CNAME *.CloudFlare.com