これでCloudFlare®の無料プランとプロキシは終了です

CloudFlareはDNSおよびSSLレベルで革新的なハイテク企業です。以下の図に示すように、プロキシサービスを使用すると、CloudFlare®エッジサーバーがサーバーと訪問者の間に配置されます。

そのエッジサーバーは、次のようなホスト名に対して発行されたSSL証明書を使用していました。

sni1234567.cloudflaressl.com

CloudFlare®によるSSLマスカレード

このユニバーサルSSLポリシーは、SSL暗号化を大衆にもたらす効果がありましたが、大きな欠点がありました。残念ながら、彼らのテクノロジーはSSLが安全なテクノロジーではなく、エンドツーエンドではないことを示しました!これは、攻撃者が同じ設定を使用する可能性があることを意味します。たとえば、銀行のアカウントのログインとパスワードを盗むことです。

これはSSLの目的ではないため、停止する必要がありました。SSLはエンドツーエンドであることが想定されています。CloudFlare®はSSL証明書の発行者になり、ユーザーに無料のSSL証明書を発行し始めました。

これがCloudFlare®が陥落した場所です。ユーザーのドメインに対する制御を示すために、ユーザーは自分で追加していないTXTレコードを追加し始めました。たとえば、次のTXTレコードのように:

ca3-abcdefghijklmnopqrstuvwxyz

ただし、TXTレコードはSPFにも使用され、そのTXTレコードはスパムポリシーに違反します。そのため、自分のメールは配信されず、送信者に返送され始めます。CloudFlare®に感謝します!SPF準拠のレコードは次のようになります。

cloudflare = ca3-abcdefghijklmnopqrstuvwxyz

賢者が言ったように:

あなたの最大の敵は… あなた自身

したがって、ユーザーはCloudFlare®サービスの恩恵を受けることができず、各ホスト名(DNSレコード)でプロキシサービスをオフにする必要があります。プロキシサービスがオフになったら、ユニバーサルSSLサービスもオフにする必要があります(SSL / TLS領域からエッジサーバーへ)。

プロキシも無料のCDNも不要です。

Comments

So empty here ... leave a comment!

コメントを残す

メールアドレスが公開されることはありません。* が付いている欄は必須項目です

Sidebar