Разработчик полного цикла
0,0
рейтинг
7 октября 2014 в 16:02

Разработка → Cloudflare включил бесплатный SSL для всех сайтов

Это произошло еще 29 сентября, но новость прошла незамеченной мимо Хабра.
Как написано в блоге компании, «еще вчера в интернете было 2 миллиона сайтов, поддерживающих SSL. Сегодня мы удвоим это число.»

Что предлагается вкратце: бесплатные wildcard-сертификаты, поддержка SPDY, возможность зашифровать трафик также между cloudflare и вашим сервером. Заинтересовавшихся прошу под кат.

Итак, новая опция от Cloudflare называется Universal SSL. Она предполагает выдачу сертификата, валидного как для корневого домена, так и для всех поддоменов первого уровня. Сертификаты выдаются компаниями GlobalSign и Comodo.

(Напомню, если кто не в курсе, что Cloudflare — это одна из сетей доставки контента (CDN), популярная за счет наличия бесплатного тарифного плана).

На выбор отныне предлагаются 4 схемы работы веб-сайта: без шифрования на всей протяженности запроса и 3 новых варианта:

Первая из них не требует никаких изменений на стороне сервера, трафик при этом передается между прокси-серверами и вашим ресурсом в открытом виде.
Вариант Full SSL допускает использование любого самоподписанного сертификата, что ненамного надежнее первой схемы и защищает трафик только от пассивного прослушивания. Поэтому в качестве рекомендуемого варианта называется третья опция, требующая наличие у сервера валидного сертификата от общепризнанных ЦС.
В дальнейшем предполагается использование собственного Cloudflare CA, позволяющего защитить канал между сервером и прокси (при этом в браузерах сертификаты Cloudflare CA признаваться не будут, схема планируется исключительно для служебных целей). Кроме того, в будущем планируется внедрить поддержку certificate pinning.

При всех перечисленных выше плюсах технология Universal SSL имеет ряд отличий от использования SSL на платных тарифных планах Cloudflare. Это одновременно позволяет компании сохранить свою бизнес-модель и решить ряд ограничений, связанных с массовостью SSL-решений и соответствующим ростом нагрузки на прокси-серверы:
  • Поддерживается только ECDSA cipher suite
  • используется SNI (Server Name Indication)


Использование ECDSA создает заметно меньшую нагрузку на сервер, чем применение «традиционных» алгоритмов RSA. Технология SNI, в свою очередь, позволяет разместить на ограниченном количестве IP-адресов Cloudflare более 2 млн сайтов, управляемых сетью. При этом имя хоста передается как часть TLS negotiation (а не после установления закрытого канала, как в традиционной схеме, требующей выделенный IP или порт), что позволяет прокси-серверу сразу выбирать нужный сертификат и устанавливать соединение с требуемым ресурсом.

К сожалению, эти технологии не поддерживаются рядом старых операционных систем и браузеров. Среди них наиболее сильны позиции у IE/WinXP (включая более ранние ОС), а также Android до версии Ice Cream Sandwich. При необходимости поддерживать максимально большое количество устройств/операционок, предлагается использовать платные тарифы, включающие в себя более полные cipher suite's (что логично, за дополнительную нагрузку на сервера необходимо платить).

Полный список поддерживаемых клиентов для Universal SSL выглядит следующим образом:

Desktop Browsers


  • Internet Explorer 7 and later
  • Firefox 2
  • Opera 8 with TLS 1.1 enabled
  • Google Chrome:
    • Windows XP: Chrome 6 и последующие
    • Vista и далее — полная поддержка
    • OS X начиная с 10.5.7: Chrome 5.0.342.0 и последующие
  • Safari 2.1 и последующие (начиная с OS X 10.5.6 или Windows Vista).

При этом любая версия Internet Explorer на Windows XP не поддерживает SNI.

Mobile Browsers


  • Mobile Safari for iOS 4.0+
  • Android 3.0 (Honeycomb)+
  • Windows Phone 7+


Read more: cloudflare blog, origin security

Несмотря на перечисленные выше недостатки, технология выглядит достаточно интересно (учитывая стоимость). Многим сайтам, еще не использовавшим HTTPS, предоставилась возможность исправить это «упущение» :) А что думаете вы?


UPD: В браузере пользователя сертификаты сервера выглядят следующим образом:

У вас есть HTTPS на вашем ресурсе?

Проголосовало 883 человека. Воздержалось 366 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

S @istui
карма
28,0
рейтинг 0,0
Разработчик полного цикла
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (44)

  • +10
    Получается, по факту они будут иметь возможность слушать трафик даже на сайтах с ssl.

    Честно говоря, для администраторов не вижу явной выгоды в переключении на cloudflare c SSL, ведь валидный годовой сертификат от startssl можно получить совершенно бесплатно, правда не wildcard, а на www и домен второго уровня.

    • +1
      Там надо светить свои данные для получения сертификата
      • +3
        Предоставить данные для получения сертификата ( кстати сертификат первого уровня требует только подтверждения владения доменом ) и предоставить весь свой веб трафик, немного разные вещи.
        • –3
          Покажите мне любое место где предлагается только подтвердить права владения доменом и не просят ФИО
          • +2
            nikolayvaganov выше написал, что StartSSL требует подтверждение только владения доменом для бесплатного сертификата(www.example.com, example.com, some.example.com)

            p.s. Но никто не мешает сделать десять сертификатов на десять поддоменов.
            • +2
              Мешает. У startssl на один домен можно только один сертификат получить. Либо domain+www.domain или domain+anything.domain
              • 0
                Либо уже пройти платную процедуру подтверждения (да, тут анонимности уже не будет), и строгать все, что надо.

                А в чем проблема? Себя не хочется называть, или тупо денег жалко?
                • 0
                  Да, платным способом можно. Но я отвечал на вполне конкретное заявление выше:
                  … для бесплатного сертификата… и… Но никто не мешает сделать десять сертификатов на десять поддоменов…
                  Это вещи взаимоисключающие. Либо бесплатно, либо wildcard (да, кстати, это все равно не будет на Х поддоменов).
              • 0
                Либо за год что-то изменилось, либо вы делаете что-то не так. У меня два действующих сертификата на одном аккаунте: www.domain.com + domain.com и secure.domain.com + domain.com
                На втором аккаунте на этот же домен есть сертификат www.domain.com + domain.com.

                Так что попробуйте еще раз завести новый сертификат на старый домен, указав другой поддомен. А если всё же не удастся, зарегистрируйте другой аккаунт и верифицируйте в нем этот же домен.
                • 0
                  Со вторым аккаунтом, как я понимаю, нужно что бы срок верификации прошел, он там на 30 дней, что ли верифицируется, через 30 дней второй аккаунт может на себя спокойно.
                  • 0
                    Что-то вы придумываете. Нет такого понятия, как «верификация аккаунта». Есть понятие «верификация домена», «верификация емэйла», «верификация личности» и «верификация компании». Первые два бесплатны и проходят в автоматическом режиме. Второй и третий — платные процедуры, проверяются людьми, нужны для wildcard и сертификатов с собственным именем в адресной строке.
          • +1
            Любые базовые самые дешевые сертификаты.
            Подтверждаются кликом по ссылке, которая придет на email указанный в whois домена.
    • +7
      Наверное, к Universal SSL не стоит относиться как к панацее. Это решение, позволяющее закрыть SSL'ем даже те сайты, на которые тратить хотя бы несколько долларов на сертификат бессмысленно. Все равно это лучше, чем полностью открытый трафик, хотя бы по такой причине.
      Я бы сказал, что в данном случае больше выгоды получает конечный посетитель, чем администратор ресурса.

      Если вы и так пользуетесь cloudflare и уже пропускаете через него свой трафик в виде HTTP — лишняя опция не помешает.
      А интернет-магазины, финансы и другие сервисы вряд ли будут переходить на такую схему.

      Что касается StartSSL — и тут и там есть свои плюсы и минусы. Все индивидуально в каждом случае. Вообще говоря, чем шире выбор вариантов — тем лучше :)
      • 0
        Все равно это лучше, чем полностью открытый трафик

        А шифрование не жрёт батарейку на мобильных устройствах?
        • +1
          увеличение расхода батарейки так ничтожно, что этим можно пренебречь.
      • 0
        Безусловно, предоставление SSL на сервисе с возможностью бесплатного аккаунта — не только хорошая реклама, но и отличная возможность стать более защищенными разнообразным ресурсам.
    • –1
      Так и wildcard сертификат нынче покупается за единицы (максимум — за десятки) долларов, дешевле даже бизнес-ланча в иных местах.

      В любом случае, бесплатный сертификат — это лишние риски. startssl могут отозвать серт, если решат, что использование стало коммерческим. А уж если сайт требует cdn, верно, поток юзеров, серьезно поменявшийся, случись сертификату оказаться отозванным, уже окупит покупку платного.
      • +2
        Нигде еще не встречал за единицы. Если поделитесь ссылкой — буду очень признателен!
        • 0
          Сорри, с единицами я махнул. Wildcard — за «десятки» есть, но даже $70 — это все же не смертельно.

          За единицы долларов дают только на один домен, Вы правы.
  • +3
    Вариант Full SSL допускает использование любого самоподписанного сертификата, что ненамного надежнее первой схемы и защищает трафик только от пассивного прослушивания.

    Хм, скорей всего я не понимаю схему работы центров сертификации и SSL.
    Но почему нельзя указать в Cloudflare самоподписанный сертификат так, чтобы только этот сертификат и был валидным для этого домена?
    Трафик от пользователя идёт к cloudflare — он валиден как в схеме flexible ssl. А почему трафик между cloudflare и сайтом нельзя закрыть самоподписанным, но одним конкретным сертификатом и попытки соединений с другим сертификатом отвергать как невалидные?
    • +5
      Это называется certificate pinning и его поддержку планируется в будущем добавить.
      Кроме того, второй вариант — использование необщепризнанного Cloudflare CA для закрытия только этого канала — также предполагается бесплатным. Это ненамного сложнее самоподписанного сертификата.
      • 0
        Понял, спасибо.
  • +1
    Yandexbot уже умеет SNI или все еще нет?
  • 0
    Фигня полная этот Cloudflare.
    1 октября перевел свой сайт на их CDN как раз из-за возможности бесплатного SSL, 3 октября вернул все на место ибо сертификат они дают совершенно левый (что-то типа ssl2000.cloudflare.com) и никаким SNI там не пахнет, ни один браузер (IE11, Firefox, Chrome) нормально мой сайт не стал открывать по https, все браузеры выводили сообщение, что возможно Вы стали жертвой атаки, данные сертификата и домена не совпадают. Нафига мне такое счастье? Уж проще купить дешовый VPS и сделать хотя бы самоподписной сертификат.
    • +1
      Что-то у вас не так пошло.
      Да, сертификат вида что-то-там.cloudflaressl.com, но он показывается валидным для домена.
      linux-lynx.ru
      Вот пример.
      Вижу сертификат зелененьким.
      Да, индекс там пустой, это так должно быть. Домен завернул на CF чисто для тестирования их sslа.
      • 0
        Возможно что-то пошло не так у cloudflare, но по виду в панели управления все было ОК, разбираться с тех.поддержкой и ждать у моря погоды на бесплатном тарифе не было желания, поэтому перевел все на старую схему, а то пользователи сайта стали возмущатся перебоями в работе в связи с изменением dns.
        • 0
          Ну первые дни у них могли быть странности.
          Сейчас, как видите, все нормально.
          • 0
            У меня сейчас наблюдается такая же проблема.
            ssl_error_bad_cert_domain
            Может должна быть какая то дополнительная магия кроме как включить в настройках cloudflare settings — SSL — flexible ssl.
            Там написано про пять минут, у меня прошло больше.
        • 0
          У коллеги сайт был на cloudflare, никто в панель CF специально не заходил и настройки не менял. Вчера проверили — все работает по https:// вполне корректно.

          Другое дело, что по умолчанию движок сайта пытался все ресурсы отдавать по http, но это решилось галочкой Force SSL в настройках движка.
      • 0
        попробовал перевести свой сайт на этот сертификат. в старой опере 12.17, которая еще действительно опера, и с которой многие не хотят расставаться — сайт не открывается. печально, шансы на то, что пофиксят несовместимость со старым браузером близки к нулю.
        • 0
          как вариант, делать https на сайте не принудительно, а опционально.
          Либо использовать платный тариф cloudflare (если нужна cdn), либо просто получить сертификат у startssl/comodo/… и использовать его на своем сервере…
        • 0
          Я понимаю, что сейчас прибегут фанаты Оперы и меня побьют, но www.w3schools.com/browsers/browsers_opera.asp
          O 12 — 0.2 %
          Можно просто игнорировать.
          • +1
            зачем же бить, если можно задавить фактами :) в рунете Opera 12 — 3.7%, что в 2 с небольшим раза меньше, чем FF и больше, чем Explorer 11
            • 0
              Определяем по юзерагенту оперу 12. Всех кроме оперы перенаправляем на https. Для большинства сайтов этого будет достаточно.
        • 0
          Опера не поддерживает ECDSA, из алгоритмов с Forward secrecy только DHE_RSA, а он медленый и ресурсоемкий. RC4 уже не считается безопасным (и он так же накладнее, чем ECDSA), поэтому увы, совместимости не светит

          Пишу с 12.17
  • 0
    Итого получается, что таким сертификатом можно подписать хоть google хоть paypal…
    Хотя я так понимаю каждый раз при добавлении домена у них динамически создается новый сертификат, правда с задержкой.

    И да…
    Desktop Browsers
    Opera 8 with TLS 1.1 enabled

    Opera 12- не поддеживает ECDSA, только DHE
    • 0
      Да, но при этом потребуется подтвердить владение этими доменами и перенаправить их трафик в cloudflare.

      А в случае с Google (ЕМНИП, поправьте в комментах, если что) еще и обойти certificate pinning как минимум в Chrome.
      • 0
        Я немного о другом. Обычно ЦС при создании сертификата вроде не дает создать на домены типа goooogle, googie, и т.д. Возможно я ошибаюсь, но мне кажется что базовые проверки на сходство с популярными сервисами есть. Да, для этого существует Exxtended Validation — но если в платежных системох он много где встречается, то например в почтовиках — практически нигде.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      альтернативы?
      • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      а лежал он у вас под ддосом на бесплатном или платном тарифе?
      • НЛО прилетело и опубликовало эту надпись здесь

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.