The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Сеть доставки контента CloudFlare представила Universal SSL

29.09.2014 20:38

Сеть доставки контента CloudFlare ввела в строй новый сервис, позволяющий бесплатно обеспечить SSL-шифрование для любого сайта, без необходимости приобретения/продления сертификатов в удостоверяющем центре и без настройки ключей. В простейшем случае, трафик от сайта до сервера CloudFlare может передаваться без шифрования, а от CloudFlare к посетителю с применением защищённого соединения. Доступна также возможность установки SSL-ключей на обслуживающий сайт сервер, в этом случае шифрование будет осуществляться на всех этапах.

Для использование функции требуется регистрация в сервисе и перенаправление трафика в CDN путем внесения изменений в DNS. В форме настройки требуется передача ведения DNS-зоны на серверы CloudFlare, но после показа списка DNS-серверов, предлагаемых для изменения, можно посмотреть выдаваемый ими IP фронтэнда CDN и поменять параметры DNS на своей стороне. Для платных аккаунтов Universal SSL становится доступен сразу, а для бесплатных - в течение 24 часов. Universal SSL может работать во всех современных браузерах, поддерживающих TLS-расширение SNI (Server Name Indication). Из не поддерживающих SNI браузеров можно отметить Internet Explorer из состава Windows XP и штатный браузер платформы Android, поставлявшийся до выпуска Ice Cream Sandwich.

  1. Главная ссылка к новости (https://blog.cloudflare.com/in...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: ssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (36) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:24, 29/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Круто!
     
     
  • 2.40, Аноним (-), 23:20, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Аж два раза:

    > трафик от сайта до сервера CloudFlare может передаваться без шифрования,

    Ну да, мы верим на слово что они не зазеркалят его АНБ, не сольют данные маркетоидам в обмен на звонкие монеты и что там еше.

     

  • 1.2, th3m3 (ok), 21:33, 29/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так-то круто конечно, но много их IP содержатся в реестре запрещённых сайтов роскомнадзора. Пришлось несколько сайтов снять с CloudFlare.
     
     
  • 2.41, Аноним (-), 23:21, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Так-то круто конечно, но много их IP содержатся в реестре запрещённых сайтов
    > роскомнадзора. Пришлось несколько сайтов снять с CloudFlare.

    Да они вообще погано работают с ex-USSR - на всю страну несколько IP, при том половину роскомсовок забанил, видимо от большого умища.

     
     
  • 3.48, arisu (ok), 07:21, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да они вообще погано работают

    вот на этом иожно остановиться. когда некое загадочное дерьмище требует у меня включить жабоскрип, чтобы доказать, что я не бот… то есть, люди совершенно не понимают, видимо, что делают и как это должно работать. например, не понимают, что как раз боту совершенно пофигу, на той же винде использовать движок IE со включеными скриптами нет вообще никакой проблемы (знаю, использовал, вдобавок на чистых сях, гыг), и оно прекрасно проходит «бототест». а человек, который скрипты выключил ради своего удобства, оказывается ботом.

    денег на кучу серверов имеют, мозгов не имеют.

     

  • 1.3, Аноним (-), 22:09, 29/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    перейти на Pro план, и пользоваться без проблем. Правда я не нашел там Universal SSL.
     
  • 1.4, Tav (ok), 22:20, 29/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Подключаясь к веб-серверу по SSL пользователь предполагает, что трафик от него до веб-сервера зашифрован и не может быть прослушан третьими лицами. А тут получается, что трафик может быть прослушан как минимум администраторами CloudFare (и АНБ, т. к. это штатовская компания) и, возможно, еще и будет передан от серверов CloudFare до конечного веб-сервера незащищенным. Ну и нахрена такой SSL нужен?
     
     
  • 2.5, Аноним (-), 22:25, 29/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы хотя бы полпути зашифровать.
     
     
  • 3.10, Tav (ok), 22:37, 29/09/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    И создать для пользователя ложную видимость защищенности его данных.
     
  • 2.6, Totktonada (ok), 22:28, 29/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для галочки.
     
  • 2.13, Аноним (-), 23:48, 29/09/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Тебе есть что скрывать от спецслужб?
     
     
  • 3.14, Ytch (ok), 00:01, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Тебе есть что скрывать от спецслужб?

    А скрывать надо обязательно именно от спецслужб? И только ту информацию, которая может заинтересовать именно спецслужбы? Кроме них, конечно, никто ничего плохого с вашей информацией не сделает.
    И все что не интересует спецслужбы (и/или и так им известно) вообще не надо скрывать и защищать?

     
     
  • 4.43, Аноним (-), 23:28, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И все что не интересует спецслужбы (и/или и так им известно) вообще
    > не надо скрывать и защищать?

    Да вот знаете, после норд-оста операторские базы подозрительно оперативно появились на всех лотках. Видимо, бабло побеждает зло не только у коммерсантов.

     
  • 3.17, Tav (ok), 00:57, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Тебе есть что скрывать от спецслужб?

    Нет. Просто общество, в котором каждый постоянно знает, что за ним присматривают, рискует стать очень похожим на известную антиутопию. А еще в службах случаются недобросовестные сотрудники, использующие информацию в личных целях (у Сноудена об этом было). А еще используя обсуждаемый сервис вы упрощаете слежку за своими пользователями для АНБ, в то же время усложняя работу для наших (нехорошо как-то получается).

    Ну и как вам уже ответили, дело тут далеко не только в спецслужбах.

     
  • 3.35, user (??), 13:25, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это не их собачье дело, есть ли мне что скрывать.
     
  • 3.42, Аноним (-), 23:23, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Тебе есть что скрывать от спецслужб?

    А спецслужбы МЕНЯ защищать в гробу видали. Вот горстку властьимущих от всех остальных - это еще может быть. И то, в штатах АНБ вполне самостоятельная шарага, живущая своей жизнью, имеющая расширенные полномочия и зачастую фигарящая на своей волне. Этакое государство в государстве.

     
  • 2.15, ano (??), 00:09, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так можно же шифровать своими ключами. До самого cloudflare. Единственно, на самом cloudflare всё будет прозрачно. Но зато исключит четвёртых лиц. :)
     
  • 2.20, freehck (ok), 03:44, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и нахрена такой SSL нужен?

    Вот именно. Зачем это было создано? Как они собираются это продавать? Неужели они взаправду думают, что на это будет спрос?

     
     
  • 3.24, Аноним (24), 08:57, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не всем владельцам сайтов нужно шифрование, но некоторые предпочитают через https на сайты ходить, как то так :).

     
     
  • 4.44, Аноним (-), 23:30, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не всем владельцам сайтов нужно шифрование, но некоторые предпочитают через https

    Круто. Некоторые предпочитают шифрование, а вы предпочитаете их подставить. За такое в приличном обществе канделябрами по роже бьют!

     
  • 2.22, tr (?), 05:18, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, у CloudFlare еще есть Keyless SSL http://arstechnica.com/information-technology/2014/09/in-depth-how-cloudflare
     
     
  • 3.36, Tav (ok), 13:26, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, у CloudFlare еще есть Keyless SSL http://arstechnica.com/information-technology/2014/09/in-depth-how-cloudflare

    И в этом случае CloudFlare тоже сможет просматривать весь трафик, который через них проходит.

     

  • 1.16, Аноним (-), 00:50, 30/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    MitM, бессмысленный и беспощадный.
     
  • 1.18, hshhhhh (ok), 01:08, 30/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так оно же и было такое. Только что в платных аккаунтах. Вся новость в том что сделали бесплатно?
     
  • 1.19, freehck (ok), 03:40, 30/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > трафик от сайта до сервера CloudFlare может передаваться без шифрования, а от CloudFlare к посетителю с применением защищённого соединения.

    Мне одному кажется, что польза от SSL в данном случае нивелируется?

     
     
  • 2.46, Аноним (-), 23:33, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне одному кажется, что польза от SSL в данном случае нивелируется?

    И даже уходит в минус - по пути заведомо есть MITM получающий расшифрованный траффик.

     
  • 2.51, csdoc (ok), 15:53, 02/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> трафик от сайта до сервера CloudFlare может передаваться без шифрования, а от CloudFlare к посетителю с применением защищённого соединения.
    > Мне одному кажется, что польза от SSL в данном случае нивелируется?

    Полезная защита от сниферов при доступе к сайту через открытые WiFi сети.

    А спецслужбы и так могут перехватить (почти) любой трафик.

     

  • 1.21, Аноним (-), 04:10, 30/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Шифровка только на другом конце? да они упоролись
     
  • 1.23, бедный буратино (ok), 07:25, 30/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да ну их... пойду лучше фотошоп представлять
     
  • 1.27, Аноним (-), 10:29, 30/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хз, кроме как для домашних сервисов (и корпоративной профанации) применения не вижу, но тогда оно должно работать с динамик днс =) Давать сертификат на имена типа home.dyndns.org может?
     
  • 1.29, Аноним (-), 10:34, 30/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как бы эту хрень обнаружить и забанить при подключении к серверу?..
     
     
  • 2.30, freehck (ok), 10:54, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как бы эту хрень обнаружить и забанить при подключении к серверу?..

    https://support.mozilla.org/en-US/questions/987284

    Under Tools → Options → Advanced → Encryption, make sure you have "Use TLS 1.0" enabled.

    Правда, у этого есть минус. Если сайт с сертификатом находится на публичном хостинге, то Вы с ним работать не сможете, ибо именно для этого, собственно, SNI изначально и создавался.

     
     
  • 3.31, Аноним (-), 11:15, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    1. Нет такой опции в последнем FF.
    2. TLS 1.0 менее надежен.
     

  • 1.33, Аноним (-), 12:45, 30/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У CloudFlare есть сертификат для любого имени домена?
     
     
  • 2.34, пох (?), 13:06, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > У CloudFlare есть сертификат для любого имени домена?

    надо полагать, у них есть либо сертификат root ca (глобалсайна видимо), либо intermediate, полностью ему эквивалентный.
    При этом сертификат для любого имени домена оно может сгенерить на ходу. Метода давным-давно практикуется производителями файрволов (в том числе был прецедент предоставления такого вот intermediate ca, вызвавший много шума).

    Проверить может любой желающий, зарегистрившись и подождав 24 часа. Мне лень. Соответственно, рецпет для того кто тут плакал, что не знает как, бедненький, защититься, банален и прост - удалить этот CA из своих списков.

    Но, как обычно, эти хомячиные писки - ни о чем. Полно нормальных, не вайлдакрдовых, честно подписанных самыми осторожными и благонадежными ca и выданных конкретным сайтам сертификатов, благополучно размещенных на банальных shared-хостингах (не всегда даже - защищенных от кражи соседями по платформе).
    Как хомячки живут в таком ужасном мире - ума не приложу ;-)

     
  • 2.38, Анонист (?), 14:39, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    DNS CNAME *.CloudFlare.com
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру