使用https连接时，cloudflare是否知道解密的内容？

CloudFlare提供ssl支持。但是，如果访问者访问受CloudFlare保护的网站，CloudFlare是否能够知道在此访问期间传输的纯数据？

有一些SSL选项：

灵活的SSL
全SSL
完全SSL（严格）

我知道对于Flexible SSL，CloudFlare可能知道纯数据，因为该数据已由CloudFlare解密并不安全地发送到Web服务器。

完全SSL和完全SSL（严格）又如何呢？CloudFlare是否先解密然后再加密以发送到Web服务器？

https cloudflare

— 徐赫德
source

您是否给他们提供您域的证书？如果您需要为他们提供证书，请假定他们可以查看和修改正在通信的所有内容。没有证书，他们将看不到或修改正在发送的内容，但也无法缓存任何内容。如果不进行缓存，则只能获得CDN提供的部分好处。

— 卡巴斯德（Kasperd），2015年

不，我没有给他们证书。如果CloudFlare无法缓存任何内容，则它就像代理一样，对吗？我不明白的是Full SSL，如果CloudFlare充当代理，那么即使服务器证书是自签名的，为什么Web客户端仍然信任SSL证书（在我的情况下，该站点显示为由COMODO签名）。

— xuhdev

那没有道理。自签名与Comodo签名不同。

— kasperd 2015年

@ AD7six如果是两个不同的SSL连接，则它们也需要具有证书。为了颁发该SSL证书，域所有者必须首先批准它。xuhdev表示还没有发生。

— 卡巴斯德，2015年

@ AD7six当CA和CDN是两个单独的实体时，您可以从一个实体请求证书并将其交给另一个实体，这一点更加明显。如果这两个实体是一个实体，则对于域名所有者来说，他们同意的内容可能变得不那么明显。我想说，Cloudflare的责任是告诉域名所有者，他们同意什么。看来xuhdev尚未意识到这一点，因为他显然不知道Cloudflare拥有证书。我不知道这是否意味着Cloudflare解释得不够清楚，还是xuhdev没有注意？

— kasperd 2015年

请参阅文档

Cloudflare的文档对此非常清楚。显然（很明显），灵活的ssl意味着从cloudflare到源的连接是未加密的。

Cloudflare的ssl图片

对于完整的ssl（任一排列），适用以下条件：

加密站点访问者和CloudFlare之间以及从CloudFlare到服务器之间的连接。

它们是两个不同的连接，因此答案为“ cloudflare知道解密的内容吗？” 是是的”。

请注意，对于EV或OV SSL证书- 您需要将它们上传到cloudflare，以供最终用户查看，但仍然是 2个连接-而不是端到端加密。

使用SSL的理由

使用ssl可以防止MITM攻击，但这并不意味着您所使用的CDN会为您忽略它所提供的内容。您也许应该问自己，为什么要加密连接。

如果没有SSL，则有很多地方可能发生MITM攻击：

没有SSL，很多可能的攻击点

使用灵活的SSL-消除了大多数（但不是全部）：

灵活的SSL，现在只有一个攻击点

使用完全SSL- 仍然存在MITM攻击的可能性：

完整的SSL，一个攻击点，但现在更难了

借助完全SSL（严格）-现在，如果不破坏cloudflare本身，就无法进行MITM攻击：

完整的SSL-不可能受到攻击

如果您担心cloudflare可以读取您的数据，请不要使用cloudflare。

— AD7six
source

需要特别注意的是，即使使用严格的SSL，除非有人非法泄漏CloudFlare，否则您永远不会知道它是否受到威胁。如果他们受到损害，他们可以阅读一切。

— 奥利（Oli）

我非常喜欢他们使用“ NSA”和臭名昭著的NSA笑脸。

— Traubenfuchs