我想知道这个配置有多安全。所以我有两台服务器,一台用于为编译静态 spa 提供服务的前端,另一台用于充当 api 的后端。每个都有来自 letsencrypt 的自己的证书。
我正在尝试通过 cloudflare 运行我的前端和 s3 虚拟主机 (cdn.website.com - cname)。
据我对 flexible 的理解,用户和 cloudflare 之间存在加密,但 cloudflare 和服务器之间没有加密。因此,当人们访问该站点时,他们使用的是该站点在 cloudflare 上的缓存版本。所以这是安全的。那么当 cloudflare 需要从我的服务器中提取 Assets 时,不安全的部分是什么?如果我的服务器有证书,cloudflare 在检索它时会使用 ssl 吗?
所以在上面,与 cloudflare 的 ssl 连接是安全的,那么在与我的服务器通信时它在哪里变得不安全呢?由于我在 cloudflare 上没有我的 api 服务器的 dns,这仍然会通过 ssl/tls 发送吗?
对于图片,为什么使用flexible时出现ssl,使用full时却报错?这是因为来自亚马逊的原始拉动不安全,但一旦缓存在 cloudflare 上,它就会变得安全,因为人们只会点击 cloudflare?这样做有什么影响或不安全吗?
我想我对 A) 握手发生的地点/时间,以及 B) 这些握手如何发生感到困惑?
最佳答案
看看 cl 的常见问题解答,一切都解释得很好 here .
So from what I understand with the flexible, there's encryption between the user and cloudflare, but there's no encryption between cloudflare and the server. So when people hit the site, they are using a cached version of the site on cloudflare. So this is secure. So is the insecure part when cloudflare needs to pull the asset from my server?
是的。
If my server has a certificate, would cloudflare use ssl when retrieving it?
是的,使用完整的 ssl - 不严格!
So in the above, the ssl connection to cloudflare is secure, so where does it become insecure when talking to my server?
在 cf 和您的服务器之间。
Since I don't have my api server's dns on cloudflare, would this still end being sent over ssl/tls?
尽管有 dns,流量还是通过 cf 进行 tls,不是吗?所以这取决于您的服务器配置。
For the images, why does ssl appear when using flexible, but gives an error when using full?
如果您不在 tls 上强制使用 s3 存储桶并使用具有完全 ssl strict 的 cl,您将收到错误消息。所以切换到不严格的完整 ssl。或者为您的 s3 获取有效证书。
What are the implications, or how insecure, is doing such?
灵活的 SSL:如果您的网站上有任何敏感信息,则不建议使用此选项。
关于security - s3 和 cloudflare 灵活的 ssl 握手,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43645907/