Ostatnio sporo się dzieje jeśli chodzi SSL dla stron internetowych, i to nie tylko w kontekście Heartbleed… Najpierw internet obiega informacja, że Google w swojej wyszukiwarce będzie premiować strony korzystające z szyfrowania ruchu (SSL/HTTPS).

Teraz Cloudflare wprowadził dla wszystkich swoich klientów możliwość korzystania z SSL również w przypadku kont darmowych, a do tego zaoferował wszystkim bezpłatnie i automatycznie „swój certyfikat”.

Cloudflare i SSL

Do niedawna by móc korzystać z SSL dla domeny w ramach Cloudflare trzeba było korzystać z płatnego planu dla danej domeny (1 domena to 20$ miesięcznie, każda następna to 5$). Teraz możemy korzystać z SSL również w przypadku domen w darmowym planie.

W Cloudflare SSL działa w 3 (+ brak SSL) trybach:

• Flexible SSL – Połączenie jest szyfrowane między użytkownikiem strony (jego przeglądarką) a serwerem Cloudflare za pomocą certyfikatu wystawionego dla Cloudflare. Nie jest natomiast szyfrowane między serwerami Cloudflare a naszym serwerem, ale dzięki temu nie jest wymagany certyfikat SSL po stronie naszego serwera.
• Full SSL – Połączenie jest szyfrowane między użytkownikiem strony (jego przeglądarką) a serwerem Cloudflare za pomocą certyfikatu wystawionego dla Cloudflare, oraz między serwerami Cloudflare a naszym serwerem za pomocą naszego certyfikatu zainstalowanego na serwerze – czyli od początku do samego końca. Może to być zarówno podpisany certyfikat wydany przez firmy zajmujące się tym (choćby bezpłatny certyfikat od StartSSL), jak i certyfikat który wystawimy sami sobie (OpenSSL).
• Full SSL (strict) – Podobnie jak powyżej, połączenie jest szyfrowane między użytkownikiem strony (jego przeglądarką) a serwerem Cloudflare za pomocą certyfikatu wystawionego dla Cloudflare, oraz między serwerami Cloudflare a naszym serwerem za pomocą naszego certyfikatu zainstalowanego na serwerze – czyli od początku do samego końca. Różnica polega na tym, że w tym trybie musimy posiadać podpisany certyfikat wydany przez firmy zajmujące się tym (choćby bezpłatny certyfikat od StartSSL).

Cloudflare Universal SSL

Kilka dni temu w Cloudflare został uruchomiony wszystkim klientom – równie z darmowych planów – tzw. „Uniwersalny certyfikat SSL” (Universal SSL) który obejmuje wszystkie domeny i ich subdomeny (tzw. Wildcard).

Na swoim koncie, w ustawieniach domeny możecie sprawdzić, że macie uruchomioną obsługę SSL w trybie „Flexible SSL”, czyli między przeglądarką użytkownika a serwerami Cloudflare. Oznacza to, że nawet jeśli na swoim serwerze nie macie zainstalowanego/skonfigurowanego certyfikatu dla SSL możecie połączyć się ze swoją stroną po HTTPS.

Przy tej okazji wszyscy klienci Cloudflare – głównie darmowi, bo „komercyjni” mogli już wcześniej mieli możliwość korzystania z SSL dla swoich domen. Tak więc jeśli macie – lub chcecie mieć – własny certyfikat, tylko z niego nie korzystaliście bo mielicie darmowe konto na Cloudflare – teraz możecie aktywować obsługę SSL w trybie Full SSL (lub Full SSF (strict)).

StartSSL czy Universal SSL?

Spotkałem się już z takim pytaniem – i nie da się na nie łatwo odpowiedzieć, bo jedno nie wyklucza drugiego, wręcz przeciwnie.

• Universal SSL szyfruje połączenie między przeglądarką użytkownika a serwerami Cloudflare (Flexible SSL).
• StartSSL to komercyjny (choć może być również bezpłatny) certyfikat dla serwera. W przypadku gdy korzystacie dodatkowo z SSL to odpowiada on za szyfrowanie między serwerami Cloudflare a Waszym serwerem, czyli zabezpieczona jest cała droga od przeglądarki użytkownika do serwera, choć 2 różnymi certyfikatami – zależnie od etapu na jakim znajdują się dane (Full SSL).

SPDY

Przy okazji każdy użytkownik Cloudflare dostał możliwość korzystania z SPDY dla swoich domen – co nieprzypadkowo zbiegło się z wprowadzeniem Universal SSL, bo SPDY wymaga SSL…