在CloudFlare网站的"支持"部分有一篇关于SSL选项的文章:SSL选项是什么意思?
。文章的作者建议将SSL选项设置为">OFF">比设置为灵活SSL更糟糕:
但它不如任何其他选项(甚至是"关闭")安全,当您决定退出它时甚至可能会给您带来麻烦:如何修复无限重定向循环......
我知道使用灵活的SSL,CloudFlare和您的Web服务器之间没有安全连接。这是作者建议它甚至不如">关闭"安全的唯一原因,还是有更多?使用灵活SSL(与OFF相比)时是否有任何其他风险和漏洞?请注意,我只是比较这两个选项:
- 关闭
- 灵活的 SSL
我能看到 Flexible 不如 Off 安全的唯一方法是......恶意人员在已知的Cloudflare服务器和您的Web服务器之间寻找这些灵活的连接(HTTP)。在客户端使用 SSL 表明您拥有重要/私有/财务数据,因此值得他们努力寻找 CF 和服务器之间的不安全传输。
除了这个猜想之外,我认为Flex是危险的,一种责任,虚假的安全感,或者只是对你的客户撒谎。他们认为他们的连接是安全的,但实际上并非如此。
对我来说很奇怪,CF甚至提供Flexible。
拥有一些SSL/TLS总比没有它要好。在废除FCC对ISPS的隐私要求后,整个互联网上的所有网站都需要HTTPS,并且应该完全禁止HTTP。 攻击者现在可以访问访问任何网站或 Web 服务的用户的浏览习惯。即使是 StackOverflow.com 也会从强制使用HTTPS中受益匪浅。
请考虑启用 HTTP 严格传输安全 (HSTS)。