C'est la fin du plan et du proxy gratuits CloudFlare®

CloudFlare est une entreprise de haute technologie innovante au niveau DNS et SSL. Lorsque vous utilisez leur service proxy, un serveur de périphérie CloudFlare® se place entre votre serveur et vos visiteurs, comme indiqué sur ce schéma ci-dessous:

Ce serveur de périphérie utilisait un certificat SSL émis pour des noms d'hôtes comme:

sni1234567.cloudflaressl.com

Mascarade SSL par CloudFlare®

Cette politique SSL universelle a eu pour effet d'apporter le cryptage SSL aux masses mais avec un gros inconvénient. Malheureusement: leur technologie vient de montrer que SSL n'est pas une technologie sécurisée, et n'est pas de bout en bout! Cela signifiait qu'un attaquant pouvait utiliser la même configuration: par exemple en volant le nom d'utilisateur et le mot de passe de votre compte bancaire.

Cela a dû s'arrêter car ce n'est pas de cela qu'il s'agit pour SSL. SSL est censé être de bout en bout. CloudFlare® est donc devenu un émetteur de certificats SSL et a commencé à émettre des certificats SSL gratuits pour leurs utilisateurs.

C'est là que CloudFlare® est tombé dans une fosse: afin de montrer le contrôle sur les domaines de leurs utilisateurs, ils ont commencé à ajouter des enregistrements TXT que vous n'avez pas ajoutés vous-même. Par exemple, comme cet enregistrement TXT:

ca3-abcdefghijklmnopqrstuvwxyz

Cependant, les enregistrements TXT sont également utilisés pour SPF, et leur enregistrement TXT casse la politique de spam. Ainsi, vos propres courriels ne seront pas livrés et commenceront à rebondir aux expéditeurs. Merci CloudFlare®! Un enregistrement conforme SPF aurait pu ressembler à:

cloudflare = ca3-abcdefghijklmnopqrstuvwxyz

Comme l'a dit le sage:

Votre plus grand ennemi esttoi même!

Les utilisateurs ne peuvent donc plus bénéficier du service CloudFlare® et doivent désactiver le service proxy sur chaque nom d'hôte (enregistrements DNS). Une fois le service proxy désactivé, le service SSL universel doit également être désactivé (depuis la zone SSL / TLS (TLS), puis vers le serveur Edge):

Plus de proxy et plus de CDN gratuit!

Zijbalk