hi,
ich bin generell ein großer Freund von (SSL(TLS)-) verschlüsselten Verbindungen. Auch finde ich das Thema Load Balancing sehr interessant. Aber bitte... Cloudflare? Ihr wisst doch sicherlich das amerikanische Firmen (Cloudflare = Cloudflare, Inc. 665 3rd St. #200 San Francisco, CA 94107 USA) u.A. durch den Patriot Act verpflichtet werden können und werden Daten rauszugeben. Nun ja, nun mag man sagen, dass es ja verschlüsselte Verbindungen sind... aber für die, die es nicht verstehen hier mal der stark vereinfachte Ablauf...
eigenes Zertifkat ohne Cloudflare und Co.:
Anforderung der Website über https -> eigener Webserver macht Zertifikataustausch mit Client -> Verbindungsverschlüsselung mit diesem Zertifikat -> verschlüsseltes Senden der Daten zum Client
mit Cloudflare:
Anforderung der Website über https -> da DNS auf Cloudflare zeigt wird die Website bei Cloudflare angefordert -> Cloudflare fordert die Website vom eigentlichen Webserver (ggf. über SSL) an -> eigener Webserver macht Zertifikataustausch mit Cloudflare -> Verbindungsverschlüsselung mit diesem Zertifikat -> verschlüsseltes Senden der Daten zu Cloudflare -> Cloudflare nimmt das Zertifikat und schmeißt es weg, ersetzt es dann durch sein eigenes -> Cloudflare sendet Daten zum Client (durch sein eigenes Zertifikat verschlüsselt!)
Welchen Sinn hat eine SSL Verschlüsselung noch, wenn die Verbindung durch ein unsicheres Zertifikat - und unsicher wird es durch oben genannten Patriot Act - "gesichert" wird? Hier lässt man freiwillig einen Man in the middle Angriff zu!
Für mich persönlich hat Cloudflare auf keiner deutschen oder europäischen Seite etwas zusuchen, da im Zweifelsfall sogar gegen das Bundesdatenschutzgesetz und die entsprechenden europäischen Datenschutzgesetze wissentlich und mMn auch vorsätzlich verstoßen wird. Deshalb kann ich den Weg der hier gegangen wird, nicht nachvollziehen. Ich werde wohl zukünftig, wenn ich hier vorbeischaue, wohl nur noch mit Umweg über Tor reinschauen und das kann ich auch nur allen anderen raten, denn Administratoren sind ja die beliebtesten Ziele der amerikanischen Behörden - wie man auch auf diversen seriösen Seiten nachlesen kann.
Sorry Till, aber dafür gibts von mir 100 Punkte aus der Minuskiste auch wenn der Grundgedanke sicher kein schlechter war.
ich bin generell ein großer Freund von (SSL(TLS)-) verschlüsselten Verbindungen. Auch finde ich das Thema Load Balancing sehr interessant. Aber bitte... Cloudflare? Ihr wisst doch sicherlich das amerikanische Firmen (Cloudflare = Cloudflare, Inc. 665 3rd St. #200 San Francisco, CA 94107 USA) u.A. durch den Patriot Act verpflichtet werden können und werden Daten rauszugeben. Nun ja, nun mag man sagen, dass es ja verschlüsselte Verbindungen sind... aber für die, die es nicht verstehen hier mal der stark vereinfachte Ablauf...
eigenes Zertifkat ohne Cloudflare und Co.:
Anforderung der Website über https -> eigener Webserver macht Zertifikataustausch mit Client -> Verbindungsverschlüsselung mit diesem Zertifikat -> verschlüsseltes Senden der Daten zum Client
mit Cloudflare:
Anforderung der Website über https -> da DNS auf Cloudflare zeigt wird die Website bei Cloudflare angefordert -> Cloudflare fordert die Website vom eigentlichen Webserver (ggf. über SSL) an -> eigener Webserver macht Zertifikataustausch mit Cloudflare -> Verbindungsverschlüsselung mit diesem Zertifikat -> verschlüsseltes Senden der Daten zu Cloudflare -> Cloudflare nimmt das Zertifikat und schmeißt es weg, ersetzt es dann durch sein eigenes -> Cloudflare sendet Daten zum Client (durch sein eigenes Zertifikat verschlüsselt!)
Welchen Sinn hat eine SSL Verschlüsselung noch, wenn die Verbindung durch ein unsicheres Zertifikat - und unsicher wird es durch oben genannten Patriot Act - "gesichert" wird? Hier lässt man freiwillig einen Man in the middle Angriff zu!
Für mich persönlich hat Cloudflare auf keiner deutschen oder europäischen Seite etwas zusuchen, da im Zweifelsfall sogar gegen das Bundesdatenschutzgesetz und die entsprechenden europäischen Datenschutzgesetze wissentlich und mMn auch vorsätzlich verstoßen wird. Deshalb kann ich den Weg der hier gegangen wird, nicht nachvollziehen. Ich werde wohl zukünftig, wenn ich hier vorbeischaue, wohl nur noch mit Umweg über Tor reinschauen und das kann ich auch nur allen anderen raten, denn Administratoren sind ja die beliebtesten Ziele der amerikanischen Behörden - wie man auch auf diversen seriösen Seiten nachlesen kann.
Sorry Till, aber dafür gibts von mir 100 Punkte aus der Minuskiste auch wenn der Grundgedanke sicher kein schlechter war.