通配符 SSL 证书、自定义域名和 Cloudflare
Wildcard SSL Certificates, Custom Domain Names, and Cloudflare
我有一个带有通配符 SSL 证书的域 (https://domainA.com). I have users who use custom subdomains (https://user1.domainA.com). I have users who wish to use custom domains that point to their subdomains (CNAME records from https://domainB.com to https://user1.domainA.com)。
这些自定义域的问题在于它们会在浏览器中抛出 SSL 警告,因为 SSL 证书上的域名 (https://*.domainA.com) 与正在访问的域名不匹配用于访问页面 (https://domainB.com)。
进入 Cloudflare。
通过在 https://domainB.com 上使用 Cloudflare 的完整 SSL 服务,我可以抑制 SSL 警告,因此用户不会遇到任何问题。我知道存在 SSL 警告(因为禁用 Cloudflare 会导致警告重新出现),但 Cloudflare 默默地消除了警告并继续加密。
此外,通过使用 Full SSL,理论上我可以完全加密用户和服务器之间的流量。
我的问题与此解决方案的 security/legitimacy 有关,应用 SSL 加密任何域(https://domainB.com,https://domainC.com),用户可能希望使用它们来访问他们的页面 (https://user1.domainA.com)。
这安全吗?这样安全吗?这有责任吗?
这有几个因素。
一个是您对 CloudFlare 的信任程度。在解密他们与用户之间的隧道并重新加密到源服务器之前,他们将以明文形式看到您用户的流量。
其次,CloudFlare 没有使用完整 SSL(非严格)选项对服务器证书进行 任何 验证。这意味着它不仅仅与域匹配有关:none 的证书属性:颁发者、时间范围等都已检查。
因此,有人可以在 CloudFlare 和您之间进行中间人攻击。
所以,我不会说它非常安全或可靠,但这实际上取决于在您的 HTTPs 通道上传递的数据类型。
可能值得考虑从 https://domainB.com to https://userX.domainA.com 进行 HTTP 301 重定向而不是获取 CNAME 记录,并且如果您非常关心用户的数据,则使用 CloudFlare 的完整(严格)SSL。
我有一个带有通配符 SSL 证书的域 (https://domainA.com). I have users who use custom subdomains (https://user1.domainA.com). I have users who wish to use custom domains that point to their subdomains (CNAME records from https://domainB.com to https://user1.domainA.com)。
这些自定义域的问题在于它们会在浏览器中抛出 SSL 警告,因为 SSL 证书上的域名 (https://*.domainA.com) 与正在访问的域名不匹配用于访问页面 (https://domainB.com)。
进入 Cloudflare。
通过在 https://domainB.com 上使用 Cloudflare 的完整 SSL 服务,我可以抑制 SSL 警告,因此用户不会遇到任何问题。我知道存在 SSL 警告(因为禁用 Cloudflare 会导致警告重新出现),但 Cloudflare 默默地消除了警告并继续加密。
此外,通过使用 Full SSL,理论上我可以完全加密用户和服务器之间的流量。
我的问题与此解决方案的 security/legitimacy 有关,应用 SSL 加密任何域(https://domainB.com,https://domainC.com),用户可能希望使用它们来访问他们的页面 (https://user1.domainA.com)。
这安全吗?这样安全吗?这有责任吗?
这有几个因素。
一个是您对 CloudFlare 的信任程度。在解密他们与用户之间的隧道并重新加密到源服务器之前,他们将以明文形式看到您用户的流量。
其次,CloudFlare 没有使用完整 SSL(非严格)选项对服务器证书进行 任何 验证。这意味着它不仅仅与域匹配有关:none 的证书属性:颁发者、时间范围等都已检查。 因此,有人可以在 CloudFlare 和您之间进行中间人攻击。
所以,我不会说它非常安全或可靠,但这实际上取决于在您的 HTTPs 通道上传递的数据类型。
可能值得考虑从 https://domainB.com to https://userX.domainA.com 进行 HTTP 301 重定向而不是获取 CNAME 记录,并且如果您非常关心用户的数据,则使用 CloudFlare 的完整(严格)SSL。