我有一个带通配符SSL证书的域名(https://domainA.com) . 我有使用自定义子域的用户(https://user1.domainA.com) . 我的用户希望使用指向其子域的自定义域(从https://domainB.com到https://user1.domainA.com的CNAME记录) .
这些自定义域的问题是它们在浏览器中抛出SSL警告,因为SSL证书(https://*.domainA.com)上的域名与用于访问页面的域名不匹配(https://domainB.com ) .
输入Cloudflare .
通过使用Cloudflare的完整SSL服务,在https://domainB.com上,我可以禁止SSL警告,以便用户不会遇到任何问题 . 我知道存在SSL警告(因为禁用Cloudflare会导致警告重新出现),但Cloudflare会默默地解除警告并继续加密 .
此外,通过使用完整SSL,我理论上在用户和服务器之间完全加密流量 .
我的问题与此解决方案的安全性/合法性有关,要对用户可能希望用于访问其页面的任何域(https://domainB.com,https://domainC.com)应用SSL加密(https://user1.domainA.com) .
这样安全吗?这样安全吗?这是负责任的吗?
1 回答
这有几个因素 .
一个是你对CloudFlare的信任程度 . 在解密用户与用户之间的隧道并将其重新加密到源服务器之前,他们将以纯文本形式查看用户的流量 .
其次,CloudFlare没有对服务器's certificate with the Full SSL (non-strict) option. This means that it'进行任何验证,而不仅仅是关于域匹配:没有任何证书属性:issuer,time range等 . 因此,有人可以在CloudFlare和您之间进行中间人攻击 .
所以,我不会说它非常安全或安全,但它实际上取决于HTTPs通道上传递的数据类型 .
可能值得考虑HTTP 301从https://domainB.com重定向到https://userX.domainA.com而不是去CNAME记录,并且使用CloudFlare 's Full (strict) SSL, if you'非常关注用户的数据 .