CloudFlare schakelt ssl voor gratis accounts in

CloudFlare heeft voor al zijn gratis accounts - ongeveer 2 miljoen websites - ondersteuning voor ssl ingeschakeld. Betaalde accounts hadden al langer ssl. Er is wel een nadeel: oudere browsers accepteren de CloudFlare-certificaten niet.

De beslissing om ssl in te schakelen voor gratis accounts, zorgt ervoor dat het aantal websites met ssl verdubbelt, beweert CloudFlare: dat waren er 2 miljoen, en daar komen circa 2 miljoen gratis CloudFlare-accounts bij. CloudFlare is een dienst die websites zich laat beschermen tegen onder meer ddos-aanvallen en als cache fungeert, zodat websites bij grote drukte overeind blijven.

De certificaten voor gratis klanten hebben wel een nadeel: ze zijn alleen geschikt voor modernere browsers. Alleen die hebben namelijk ondersteuning voor meerdere websites op één ip-adres; oudere websites ondersteunen maximaal één certificaat per ip-adres. Wie een recente browser gebruikt, zou geen problemen moeten ondervinden. Internet Explorer-gebruikers op Windows XP en gebruikers van Android-versies ouder dan Ice Cream Sandwich worden echter niet ondersteund.

De certificaten van CloudFlare gebruiken geen RSA, maar Elliptic Curve-cryptografie. Die zorgt ervoor dat de serverload vermindert en alle gratis accounts voorzien kunnen worden van ssl, aldus CloudFlare. Oudere browsers hebben eveneens geen ondersteuning voor Elliptic Curve-certificaten. Elliptic curve-cryptografie is moeilijker te kraken dan klassieke algoritmen zoals rsa.

Uit statistieken van CloudFlare blijkt dat 85 procent van de Nederlandse bezoekers een browser gebruikt die recent genoeg is. Naar eigen zeggen had CloudFlare geen andere mogelijkheid om ssl in te schakelen: het bedrijf zou dan 2 miljoen ip-adressen moeten aanvragen, maar daarvoor zijn te weinig ipv4-adressen voorhanden. Betaalde accounts kunnen wel een eigen ip-adres krijgen en daardoor ook verbindingen met oude browsers versleutelen.

Overigens moeten websitebeheerders zelf nog de verbinding tussen CloudFlare en de webserver versleutelen om echt veilig te zijn; CloudFlare levert een certificaat om dat mogelijk te maken. Ook worden websitebezoekers niet automatisch verwezen naar de https-versie, al kunnen beheerders dat wel aanzetten.

Door Joost Schellevis

Redacteur

Feedback • 29-09-2014 17:2918

29-09-2014 • 17:29

18 Linkedin

Lees meer

Aanvallers ddos'en website met behulp van honderdduizenden mobieltjes Nieuws van 28 september 2015
Google-onderzoekers vinden ernstig lek in oude ssl-versie - update Nieuws van 15 oktober 2014
Amsterdamse Cloudflare-servers kampen met grootschalige ddos-aanvallen Nieuws van 1 juli 2014
Opnieuw lek in OpenSSL ontdekt Nieuws van 5 juni 2014
Nederlandse ntp-servers misbruikt bij grote ddos-aanval op Cloudflare Nieuws van 13 februari 2014
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (18)

-Moderatie-faq
18
17
13
3
1
2
Wijzig sortering
eth0
29 september 2014 17:39
Ofwel ze gebruiken SNI, is een beetje lastig op te maken uit deze nieuws post:

http://en.wikipedia.org/wiki/Server_Name_Indication

Server Name Indication (SNI) is an extension to the TLS computer networking protocol[1] that indicates to what hostname the client is attempting to connect at the start of the handshaking process. This allows a server to present multiple certificates on the same IP address and TCP port number and hence allows multiple secure (HTTPS) websites (or any other Service over TLS) to be served off the same IP address without requiring all those sites to use the same certificate. It is the conceptual equivalent to HTTP/1.1 virtual hosting for HTTPS.

To make use of SNI practical, it is necessary that the vast majority of users use web browsers that support it. Users whose browsers do not support SNI will be presented with a default certificate and hence are likely to receive certificate warnings, unless the server is equipped with a wildcard certificate that matches the name of the website.
BasieP
@eth029 september 2014 18:16
tweakers begint steeds meer jip en janneke berichtjes te plaatsen. Van mij had dit soort technische details best in het bericht mogen staan.
Armin
@BasieP29 september 2014 18:57
Een ander niet-Jip-en-Janneke aanvulling is dat met eliptical curve certifciaten gaat gebruiken ipv de nu gebruikelijke RSA.

Microsoft ondersteunt dat sinds Vista, hetgeen verklaart waarom XP buiten de boot valt. Tot nu toe echter wilde deze certifciaten niet van de grond komen. Waarschijnlijk omdat er in het begin wat onduidelijkheid was over patenten.

CloudFlare zelf begin 2014 verkondigde nog trots dat hun eigen HTTPS mini-blog één van de eerste 50 websites ter wereld was die dit nieuwe certificaat gebruikte. En vervolgens binnen een maand vervingen ze het door een gewoon RSA certifciaat vanwege het gebrek aan ondersteuning _/-\o_

Maar sindsdien is XP uitgefaseerd (offiieel dan O-) ) en kan men dus waarschijnlijk beter deze diensten gaan uitrollen.
jvd-nl
@Armin29 september 2014 23:32
De implementatie van ECDSA binnen BouncyCastle is overigens niet bepaald snel te noemen. Op (oudere hardware met) Android zou je het performanceverlies van ECDSA ten opzichte van RSA dus wel kunnen merken.

@Armin: Als je gewoon OpenSSL (of een fork;)) gebruikt zou het inderdaad sneller moeten zijn. De stelling van CloudFlare dat het sneller is klopt dan dus ook voor wat betreft hun servers (native C). De Java-implementatie (BouncyCastle) daarentegen schijnt niet al te best te presteren, zie Google.

[Reactie gewijzigd door jvd-nl op 30 september 2014 00:26]

Armin
@jvd-nl29 september 2014 23:39
Op Android zou je het performanceverlies van ECDSA ten opzichte van RSA dus wel kunnen merken.

Voor de duidelijkheid, dus jij zegt dat op Android ECDSA ipv sneller (wat je normaal zou verwachten), langzamer is ivm de brakke implementatie?

Let wel, ik zeg niet dat dat niet waar is, ik vraag alleen of ik je goed begrijp O-)

Ik ben nog steeds aan het wachtern op de uitrol. Ik heb nog geen enkele CloudFlare website gevonden waar dit nu daadwerkelijk uitgerold is. (Het schijnt zo'n 12 a 24 uur te duren na aanzetten.) En die paar websites waarvan de eigenaren zeggen dat het aangezet is, gebruiken nog steeds RSA.

Ik heb namelijk nog nooit een werkelijke HTTPS website gezien met ECDSA certificaten. Zoals gezegd CloudFare zelf rapporteerde eerder dit jaar dat het totale aantal op aarde minder dan 50 was, dus zo gek was dat gelukkig niet. _/-\o_

Maar ik wil het nu wel eens 'in het echt zien', zodat ik ook eens kan testen hoe snel/langzaam dit ECDSA nu is. Men praat er immers al 10 jaar over, maar het bestaat dus nog steeds nergens.
Armin
@jvd-nl1 oktober 2014 00:16
'We' zijn live:

https://www.ssllabs.com/s...ompany.com&s=104.28.25.86

_/-\o_
Blaise
@eth029 september 2014 18:53
De meeste browsers ondersteunen het wel (IE6 is geloof ik de laatste die het niet ondersteunt). Als web developer is het vervelender dat bijvoorbeeld de SLL module in Python 2.7 en Pinterest het niet ondersteunen.
dbzokphp
@Blaise29 september 2014 19:12
SNI wordt niet ondersteund t/m IE8 op Windows XP. Er zijn nog best veel computers met Windows XP, dus er blijft een doelgroep waarop SNI niet wordt ondersteund (tenzij zij op Windows XP een andere moderne browser gebruiken).
Soultaker
@dbzokphp29 september 2014 23:22
Ik hoop toch dat de meeste mensen die nog Windows XP gebruiken, een andere browser dan Internet Explorer gebruiken....

[Reactie gewijzigd door Soultaker op 29 september 2014 23:23]

The Zep Man
29 september 2014 18:20
Ook worden websitebezoekers niet automatisch verwezen naar de https-versie, al kunnen beheerders dat wel aanzetten.
Kunnen beheerders zelf bepalen welke HTTP headers zij meesturen? Zo ja, dan is het relatief simpel om HTTP Strict Transport Security in te schakelen. Na het eerste keer bezoeken van de site (of de site plaatsen op een lijst die met de browser wordt meegeleverd) wordt dezelfde site in de toekomst alleen nog maar via SSL bezocht, zelfs als de gebruiker per ongeluk 'sitenaam.ext' intypt of zelfs 'http://sitenaam.ext'. Als de site niet beschikbaar is via SSL, wordt er geen onveilige verbinding gemaakt.

Toegegeven, de eerste keer bezoeken van een site kan dan onveilig zijn (door http te gebruiken in plaats van https), maar als op dat eerste bezoek geen aanval is, dan zijn alle opvolgende bezoeken veilig. :)

Een reden waarom CloudFlare dit waarschijnlijk doet is omdat zoekmachines zoals Google SSL sites een hogere score (gaan) geven, waardoor ze hoger in de index komen te staan.

[Reactie gewijzigd door The Zep Man op 29 september 2014 18:24]

NLAnaconda
30 september 2014 09:07
Ben ik de enige die tijdens een (betaalde) cloudflare periode meer downtime had dan zonder cloudflare?
Ik had vrijwel nooit last van downtime totdat ik van de dienst gebruik ging maken.
Zodra AMS op hun twitterfeed tevoorschijn kwam lag mijn site er in Nederland uit. En dat gebeurde wel een keer per week.
ThE_ED
@NLAnaconda10 oktober 2014 11:00
Enigszins offtopic, maar dat is wel een 'probleem', ja. Als je normaal nooit ergens last van hebt dan heb je bij Cloudflare ineens wel last van 'downtime' (of eigenlijk, dat je onbereikbaar bent voor een deel van het publiek). Dat is omdat een aanval op hun AMS colocatie, bijvoorbeeld, dan ineens ook voor jou problemen oplevert.

Als je echter zelf wel, bijvoorbeeld, regelmatig een DDoS te verstouwen krijgt, of anderszins downtime ondervindt dan scheelt het weer wel veel. (En de DDoS-last komt niet zo snel op jouw server te liggen.)
walkstyle
29 september 2014 18:37
SSL/ PRO / BUSINESS / ENTERPRISE
[That feature requires a higher subscription level than is currently active for domain.com]

Waarschijnlijk is het nog niet volledig uitgerold.
StephanVierkant
@walkstyle29 september 2014 19:00
https://blog.cloudflare.com/introducing-universal-ssl/:
"For new customers who sign up for CloudFlare's free plan, after we get through provisioning existing customers, it will take up to 24 hours to activate Universal SSL."
Het kan dus nog 24 uur duren voordat alles geactiveerd is.
Rawit
@walkstyle29 september 2014 19:38
Hier hetzelfde. Bij login kreeg ik de mededeling dat er een nieuwe SSL feature beschikbaar is, maar bij het selecteren van SSL krijg ik inderdaad ook:

[That feature requires a higher subscription level than is currently active for domain.com]

We gaan het morgen maar eens uittesten.
hvwees
29 september 2014 23:14
Cool... Dan ga ik mijn sites achter cloudflare ook op ssl zetten....
Armin
@AntonNus29 september 2014 19:01
Volgens mij snap je het principe niet echt. Het gaat hier vooral om websites die nu GEEN SSL gebruiken. Daar is dus geen MITM voor nodig want iedereen kan alles lezen. Nu wordt dus een deel van het traject versleuteld.

Ik ben het er volstrekt mee eens dat dit slechts beperkt zin heeft indien de klant zelf niet zijn verkeer naar cloudflare ook versleuteld, maar met MITM heeft dit weinig te maken.

(Waarschijnlijk ben je in de war met de keyless SSL feature die CloudFlare vorige week introduceerde. Dat is een MITM'achtige structuur. Doch echter nog steeds niet onveilig door de wijze van opzetten.)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee