これでCloudFlare®の無料プランとプロキシは終了です

CloudFlareはDNSおよびSSLレベルで革新的なハイテク企業です以下の図に示すようにプロキシサービスを使用するとCloudFlare®エッジサーバーがサーバーと訪問者の間に配置されます

そのエッジサーバーは次のようなホスト名に対して発行されたSSL証明書を使用していました

sni1234567.cloudflaressl.com

CloudFlare®によるSSLマスカレード

このユニバーサルSSLポリシーはSSL暗号化を大衆にもたらす効果がありましたが大きな欠点がありました残念ながら彼らのテクノロジーはSSLが安全なテクノロジーではなくエンドツーエンドではないことを示しました!これは攻撃者が同じ設定を使用する可能性があることを意味しますたとえば銀行のアカウントのログインとパスワードを盗むことです

これはSSLの目的ではないため停止する必要がありましたSSLはエンドツーエンドであることが想定されていますCloudFlare®はSSL証明書の発行者になりユーザーに無料のSSL証明書を発行し始めました

これがCloudFlare®が陥落した場所ですユーザーのドメインに対する制御を示すためにユーザーは自分で追加していないTXTレコードを追加し始めましたたとえば次のTXTレコードのように

ca3-abcdefghijklmnopqrstuvwxyz

ただしTXTレコードはSPFにも使用されそのTXTレコードはスパムポリシーに違反しますそのため自分のメールは配信されず送信者に返送され始めますCloudFlare®に感謝します!SPF準拠のレコードは次のようになります

cloudflare = ca3-abcdefghijklmnopqrstuvwxyz

賢者が言ったように

あなたの最大の敵はあなた自身

したがってユーザーはCloudFlare®サービスの恩恵を受けることができず各ホスト名(DNSレコード)でプロキシサービスをオフにする必要がありますプロキシサービスがオフになったらユニバーサルSSLサービスもオフにする必要があります(SSL / TLS領域からエッジサーバーへ)

プロキシも無料のCDNも不要です

侧边栏