Cloudflare的“灵活SSL”是否有任何不利之处？

Cloudflare使您可以通过SSL为站点提供服务，而无需购买和安装安全证书，该产品被称为“ Flexible SSL”。（它们充当代理并通过其服务器上的SSL通过SSL服务您的网站，而从服务器到其服务器的连接仍未加密。）

他们目前免费提供弹性SSL 。

随着Google宣布HTTPS现在已成为排名信号，我正在考虑将多个站点切换到Cloudflare，购买一个Pro帐户，并启用其“ Flexible SSL”选项，因为这似乎是通过HTTPS无需使用HTTPS即可服务多个站点的最简单方法必须购买和管理多个证书。

Cloudflare的弹性SSL有不利之处吗？

我很乐意将Cloudflare用作代理–我对两个因素更感兴趣：

1. 最终用户的体验。（例如，访客会看到安全警告吗？）
2. 提供的安全级别。（对于一个简单的博客来说足够了，但对于一个在线商店来说却足够了，因为他们会将信用卡数据未经加密地从他们的服务器传递给您的服务器？）

灵活的SSL并非完全安全

CloudFlare的灵活SSL提供从用户到CloudFlare的服务器的加密，但不从用户的服务器到网站服务器的加密。这避免了在Web服务器上安装（和更新）证书的麻烦，但确实意味着在旅程的后半段，流量将以纯文本格式发送。

这种设置的好处是：

• 易于上手，无需在Web服务器上安装证书并处理定期续订
• 提供保护，以防止窃听不安全的WiFi连接（互联网咖啡馆）以及您本地网络或ISP级别的其他人。
• 用户将在其浏览器中看到绿色的挂锁，并且不应收到任何安全警告

固有的问题是：

• 从CloudFlare到您服务器的流量未加密，这意味着批发ISP，中继提供商和NSA仍可以读取所有纯文本请求
• 流量受到中间人（MITM）攻击，其中另一台服务器可以模拟您的服务器并接收其流量（尽管此问题也适用于“完全” SSL设置，但您需要使用“严格”模式以避免这个）。
• 由于上述原因，它为您的网站访问者提供了一种误导性和虚假的安全感（但这是不合适的选择）

SSL设置比较

通过私有安全网络发送流量时，通常不对代理服务器和后端服务器之间的流量进行加密。但是在这种情况下，您是通过公共Internet路由流量。

CloudFlare建议您还在Web服务器上安装证书，以进行真正的端到端加密，甚至可以通过其仪表板提供免费证书来这样做（如果您不想安装自签名证书）。从CloudFlare博客的讨论中：

实际上，我们将提供一个免费证书，该证书固定在您可以安装在服务器上以进行端到端加密的域中。

无论使用“完全”或“灵活” SSL，您的用户都不会看到弹出窗口或其他警告。

该链接说明了CloudFlare SSL选项是什么。

至少在此时，灵活的SSL尚未完全加密到您的服务器。Matthew在博客上讨论的问题（“实际上，我们将提供一个免费证书，该证书已固定到您可以在服务器上安装以进行端到端加密....的域上……是免费的”）是”暂时没有。

当我们推出免费的SSL选项时，我们肯定会更新内容以反映所有更改。

SEO有一个很大的缺点。谷歌表示，它偏爱SSL网站，但证书应为2048位 CloudFlare的“灵活SSL”不是2048位。