العديد من المواقع التي تستخدم وضع Cloudflare Flexible SSL تبدو آمنة بوجود قفل الأمان، لكن جزءًا حيويًا من اتصالها يبقى غير مشفر. هذا يعرض بياناتك للخطر أثناء انتقالها بين Cloudflare وخادم موقعك، رغم ما يظهره المتصفح.
مرحباً بأصحاب المواقع الإلكترونية الذين يستخدمون Cloudflare: قد لا يعني قفل الأمان اللامع الذي يظهر في متصفحك أن موقعك آمن بالكامل. إذا كنت تستخدم إعداد «Flexible SSL» في Cloudflare، فقد يكون جزء حاسم من نقل بيانات موقعك مكشوفاً للمتطفلين، حتى لو رأى زوارك اتصالاً آمناً. إليكم ما يحدث: عندما يزور أحد الأشخاص موقعك، يتصل متصفحه بشكل آمن بـ Cloudflare باستخدام HTTPS، وهذا أمر ممتاز. ولهذا السبب يرى الزوار قفل الأمان. ومع ذلك، في وضع «Flexible SSL»، يقوم Cloudflare بعد ذلك بالاتصال بخادم موقعك الفعلي باستخدام بروتوكول HTTP العادي وغير المشفر. تخيل الأمر كأنك قمت بتأمين الباب الأمامي لمنزلك، لكن الباب الخلفي للمخزن تُرك مفتوحاً. قد تفكر: «وماذا في ذلك؟ هذا مجرد اتصال بين Cloudflare وخادمي». لكن هذا الاتصال ليس خاصاً. المسار من Cloudflare إلى خادمك غالباً ما يمر عبر الإنترنت العام. وهذا يعني أن أي شبكة في المنتصف – مزود خدمة عبور، أو شريك استضافة، أو حتى خطأ في تهيئة جهاز توجيه – يمكنها قراءة البيانات الحساسة. نتحدث هنا عن ملفات تعريف الارتباط الخاصة بالجلسات، وتفاصيل تسجيل الدخول، وبيانات النماذج، وأي شيء آخر لم يتم تشفيره بشكل منفصل بواسطة تطبيقك. كل تلك الميزانية التي أنفقتها على Cloudflare لتأمين موقعك، ونصف الرحلة لا يزال مكشوفاً. تقدم Cloudflare أوضاع SSL مختلفة، ومن السهل إساءة فهمها. * وضع «Off» يعني عدم وجود HTTPS على الإطلاق. * «Flexible» يمنحك قفل الأمان من الزائر إلى Cloudflare ولكنه يبقي الاتصال بخادمك غير مشفر. هذه هي المنطقة الخطرة. * «Full» يقوم بتشفير الاتصال في الاتجاهين ولكنه لا يتحقق مما إذا كانت شهادة خادمك من مصدر موثوق. * «Full (strict)» هو الوضع الذي تريده. إنه يشفر المسار بأكمله، من الزائر إلى Cloudflare ثم بشكل آمن إلى خادمك، ويتحقق من أن خادمك لديه شهادة SSL شرعية. الحل بسيط بمجرد أن تعرف المشكلة. للحصول على أمان حقيقي وشامل، تحتاج إلى التبديل إلى وضع «Full (strict)» في Cloudflare. ولكن قبل أن تفعل ذلك، يجب عليك تثبيت شهادة SSL صالحة مباشرة على خادمك الأصلي. إذا كنت تدير خادمك، فإن أدوات مثل Let's Encrypt مع Certbot تقدم شهادات مجانية ومؤتمتة يسهل إعدادها. يستغرق الأمر عادةً بضع دقائق فقط. لا تدع قفل أمان مضلل يمنحك إحساساً زائفاً بالأمان؛ تأكد من أن موقعك محمي حقاً من البداية إلى النهاية.