让我们加密与 cloudflare 还是两者兼而有之? [关闭]

【问题标题】:let's encrypt vs cloudflare or both? [closed]让我们加密与 cloudflare 还是两者兼而有之? [关闭]
【发布时间】:2017-08-15 09:46:36
【问题描述】:

我真的很困惑 cloudflare 的 ssl 和使用 let's encrypt 让我的网站变成完整的 https。

许多消息来源说使用其中一个或同时使用两者。 但是,没有一种非常决定性的方法来确定是同时使用两者还是只使用其中一个。

在大多数情况下,人们喜欢 cloudflare,因为它是免费的 CDN。 它带有一种设置 SSL 的简单方法

不过,Let's Encrypt 似乎是下一件大事,不了解更多信息是愚蠢的。

有人说 Cloudflare 就够了。。 http://community.rtcamp.com/t/letsencrypt-with-cloudflare/5659

有些人不遗余力地设置两者 https://medium.com/@benjamincaldwell/better-ssl-tls-certificates-from-lets-encrypt-with-nginx-and-cloudflare-9f01f89940cd#.tlhx6g5in

https://community.letsencrypt.org/t/how-to-get-a-lets-encrypt-certificate-while-using-cloudflare/6338?u=pfg

http://pushincome.com/cloudflare-lets-encrypt-free-ssl-setup-ubuntu-apache/

https://flurdy.com/docs/letsencrypt/nginx.html

我想知道最好的设置方法是什么,让我们正确加密以将 cloudflare 用作我的内容的 CDN。

谢谢。

【问题讨论】:

  • 您有没有为此找到解决方案? @user805981
  • 它们都是免费的。 “下一件大事”并不是一个严肃的标准。推荐问题在这里是题外话,关于计算机基础设施的问题也是如此。

标签: ssl nginx https cloudflare lets-encrypt


【解决方案1】:

在两者中都使用 HTTPS 可以提高您的不可知论分数,从而可以在没有此功能的 CDN 提供商之间进行切换而无需担心。 这是一个关于你自己决定的问题,如果有意义的话,只使用 Cloudflare 通过 https 构建你的基础设施,以防万一它是个人项目,或者没有极端的安全合规性。关于安全性,两层都使用https符合国际安全标准,如果有安全需求且HTTPS服务器和HTTP服务器之间的通道不受保护,请避免只使用一层。

【讨论】:

  • 只是想补充一点,您还可以使用 CF 的原始证书正确保护 CF 和您的服务器之间的路由:这些是可以安装在您的服务器,忘记并获得端到端的加密流量。
【解决方案2】:

链条的强度取决于其最薄弱的环节。

如果您保护了一个通道而不保护另一个通道,则会减少攻击面,但设置仍然容易受到攻击。您的网站流量仍然以纯文本形式流动,无论是在浏览器和 Cloudflare 服务器之间,还是在 Cloudflare 服务器和您的源服务器之间。

在有人故意或意外偷窃、劫持、冒充、嗅探、窃听或中间人之前,这只是时间、努力和运气的问题。

此外,您拥有进行完全安全设置的所有工具,而且它们都是免费的。

  • Cloudflare 颁发或 LetsEncrypt 证书以保护与您的网站/API 的通信。
  • Cloudflare 颁发或 LetsEncrypt 证书以保护与您的源服务器的通信。

这是 HTTP 与 HTTPS 的good overview,它列出了 HTTP 容易受到的一些攻击。

【讨论】:

    【解决方案3】:

    当您使用 Cloudflare 时,有两个部分需要加密:

    1. 从用户的浏览器到 Cloudflare
    2. 从 Cloudflare 到您的服务器

    这意味着您需要两个证书才能完全加密。

    Cloudflare 会自动为您提供第一个。这是用户在检查 URL 挂锁时看到的。

    有多种方法可以处理 Cloudflare > 服务器加密。所有这些都是免费的。

    1. 选择 Cloudflare 的“灵活”SSL/TLS 加密模式。这不会加密从 Cloudflare 到您的服务器的请求,但浏览器将显示绿色挂锁并表示该站点是安全的。有点讨厌,如果你问我的话。

    2. 使用 Lets Encrypt 在您的服务器 https://certbot.eff.org/lets-encrypt/ubuntufocal-apache 上安装证书。您现在可以将 Cloudflare 的 SSL/TLS 加密模式设置为“完全(严格)”。我决定不采用此解决方案,因为基本解决方案不适用于负载平衡器。

    3. 在您的服务器上安装 Cloudflare 的 Origin Certificate。您可以将其有效期设置为 15 年,这很好(至少到 2035 年您已经忘记了这一点并且您的网站中断时)。以下是 Ubunto 方向:Set up Ubuntu Apache2 SSL using .pem and .key from Cloudflare

    4. 您还可以创建和安装自己的原始证书,这显然很容易,但我没有尝试过。

    【讨论】:

      【解决方案4】:

      您可以做的是转到 SSL/TLS

      瞧,您可以使用 Cloudflare 的快速 CDN 和 DNS 管理,还可以免费将 Let's Encrypt 与其集成。

      【讨论】:

        【解决方案5】:

        Cloudflare 实际上有一个 Let's Encrypt CA。我在 cloudflare 上托管了另一个域,使用 Cloudflare 的 Let's encrypt wildcard SSL。加上它自动更新。为了保护您的源服务器,您可以只使用 Cloudflare 的 Origin SSL 或使用自签名 SSL,因为没有人可以看到它,它提供相同的安全性,并且有效期超过 15 年。

        【讨论】:

          猜你喜欢
          • 2011-04-05
          • 2016-01-31
          • 1970-01-01
          • 2014-07-20
          • 1970-01-01
          • 2013-03-13
          • 1970-01-01
          • 2015-08-19
          • 1970-01-01
          相关资源
          最近更新 更多
          热门标签
          Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode