Dit is het einde van het gratis abonnement en proxy van CloudFlare®

CloudFlare is een hightechbedrijf dat innoveert op DNS- en SSL-niveau. Wanneer u hun proxy-service gebruikt, zal een CloudFlare® edge-server tussen uw server en uw bezoekers zitten, zoals weergegeven in dit onderstaande diagram:

Die edge-server gebruikte een SSL-certificaat dat is uitgegeven voor hostnamen zoals:

sni1234567.cloudflaressl.com

SSL-maskerade door CloudFlare®

Dit universele SSL-beleid had als effect dat het SSL-encryptie naar de massa bracht, maar met een groot nadeel. Helaas: hun technologie heeft zojuist aangetoond dat SSL geen veilige technologie is en niet end-to-end! Het betekende dat een aanvaller dezelfde configuratie kon gebruiken: bijvoorbeeld door de login en het wachtwoord van uw bankrekening te stelen.

Dit moest stoppen omdat dit niet is waar SSL over gaat. SSL zou end-to-end moeten zijn. Dus CloudFlare® werd een uitgever van SSL-certificaten en begon een gratis SSL-certificaat uit te geven aan hun gebruikers.

Dit is waar CloudFlare® in een put viel: om controle over de domeinen van hun gebruikers te tonen, begonnen ze TXT-records toe te voegen die je niet zelf had toegevoegd. Bijvoorbeeld zoals dit TXT-record:

ca3-abcdefghijklmnopqrstuvwxyz

TXT-records worden echter ook gebruikt voor SPF en hun TXT-record is in strijd met het spambeleid. Dus uw eigen e-mails worden niet bezorgd en beginnen terug te stuiteren naar afzenders. Bedankt CloudFlare®! Een SPF-conform record zou er ongeveer zo uit kunnen zien:

cloudflare = ca3-abcdefghijklmnopqrstuvwxyz

Zoals de wijze man ooit zei:

Je grootste vijand is … jezelf!

Dus nu kunnen gebruikers niet profiteren van de CloudFlare®-service en moeten ze de proxy-service op elke hostnaam (DNS-records) uitschakelen. Zodra de proxyservice is uitgeschakeld, moet de universele SSL-service ook worden uitgeschakeld (van het SSL / TLS-gebied en vervolgens naar Edge Server):

Geen proxy meer en geen gratis CDN!

Sidebar