|
|
1 回复 | 直到 5 月前
|
1
2
你不必,虽然你 能够 如果你愿意,与他们 Custom Certificates ,但它非常昂贵,只适用于企业用户或任何不能接受第三方证书的用例。
Cloudflare不需要关心您的源服务器私钥(除非您使用自定义证书功能),因为您的访问者使用Cloudflare的证书连接到Cloudflare。
一旦您验证了您的域名所有权,Cloudflare将通过LetsEncrypt或其他合作伙伴为您的域名生成证书。Cloudflare有权这样做,因为CA会看到您的域名NS记录现在确实指向Cloudflare的名称服务器。在服务器上运行的certbot通过挑战后,Let's Encrypt将如何向您颁发证书,这是类似的(尽管规模更大)。 因此,现在Cloudflare可以处理您的访问者与其服务器之间的TLS连接,解密并检查它,然后使用您的源服务器证书重新加密。有趣的事实是,除非您使用 Full Strict 模式下,源服务器不需要为域提供有效的、公开可信的证书(如果使用关闭模式,甚至不需要任何加密)。这通常适用于传统情况,即源服务器无法使用来自公共CA的有效证书,但我在Cloudflare上看到很多域名指向谷歌DNS IP,这反过来又使它们成为HTTPS上的DNS端点,可能是为了逃避审查。这个技巧之所以有效,是因为虽然通常大多数源服务器会拒绝具有无效SNI的请求,但谷歌DNS DoH端点很乐意接受任何SNI。
无论自定义证书和TLS模式如何,如果您使用它们,您始终必须信任Cloudflare,因为它们可以随时为您的域生成证书,并且由于您的域指向其IP,因此它将受到信任。
这就是大多数DDoS保护的工作原理:他们必须处理您的流量,从而完全控制它。即使是CA本身本质上也是一个信任链。 |
推荐文章
|
|
NVG · 使用cloudflare时的php邮件和SMTP 7 年前 |
|
|
AdmagTwoXray · rsync无法连接错误 7 年前 |
|
Matthias · 基于端口的IPs子域 7 年前 |
|
Ilja · firebase托管是否受益于CloudFlare? 7 年前 |