Насколько безопасен базовый SSL CloudFlare

В конечном счете, для клиентов самая лучшая защита - это сквозной SSL. Похоже, что вы можете получить "Full-SSL" только для их учетной записи Pro, и вы можете сделать это с помощью самозаверяющих сертификатов на своем личном сервере, если хотите.

Чтобы злоумышленник мог перехватывать трафик при использовании своего "Flexible-SSL" (только SSL между клиентами и Cloudflare), этот злоумышленник должен находиться в центре Cloudflare и вашего сервера. Самое простое для этого место - скорее всего, чем в локальной сети, с использованием техники MITM, такой как отравление арпом, или отслеживание трафика по проводам, если они получают доступ к концентратору или переключаются в режиме мониторинга.

Разумно ожидать, что злоумышленник не сможет MITM или перехватить соединения между вашим интернет-провайдером и Cloudflare, если только ваш злоумышленник не является одним из интернет-провайдеров или более крупным действующим лицом (например, АНБ).

Как минимум, если вы собираетесь использовать любой SSL, который вы не возражаете, добавьте самозаверяющий сертификат и откройте порт 443 на своем веб-сервере, чтобы информация не передавалась через открытый текст. Я не знаю, отслеживает ли cloudflare изменения сертификата, но это по крайней мере предотвратит перехват трафика и заставит злоумышленника использовать более шумную, более агрессивную и потенциально легко заметную атаку.

Редактировать: единственное, что уровни Business и Enterprise их услуг предоставляют вам в отношении SSL, - это возможность для вас также загрузить свой собственный собственный сертификат SSL, который будет работать с клиентами. Например, если вам нужен расширенный сертификат проверки.