Mit Cloud­fla­re gibt es kei­ne Ende-zu-Ende-Ver­schlüs­se­lung zwi­schen Besu­chern der Web­sei­te und dem Web­ser­ver mehr. Sämt­li­cher Ver­kehr geht unver­schlüs­selt durch die Ser­ver von Cloudflare.

Wenn du also dei­nen Ser­ver hin­ter Cloud­fla­re ver­schanzt, weil du hoffst, daß damit dei­ne Web­sei­te bes­ser gegen DDoS-Attaken geschützt ist, weil du hoffst, daß sie dadurch schnel­ler wird und ste­ti­ger erreich­bar ist, weil du hoffst, daß dei­ne Sei­te dadurch ins­ge­samt siche­rer wird, soll­test du berück­sich­ti­gen, daß sämt­li­che Abru­fe dei­ner Sei­te von Cloud­fla­re pro­to­kol­liert und samt Inhalt aus­ge­wer­tet wer­den kön­nen, daß dei­ne Sei­te sta­tis­tisch gese­hen öfter nicht erreich­bar und viel­leicht auch gar nicht schnel­ler ist, daß Claud­fla­re an sämt­li­che Paß­wör­ter, mit denen du dich auf dei­ner Sei­te anmel­dest bzw. die Besu­cher dei­ner Sei­te sich auf dei­ner Sei­te anmel­den, her­an­kommt, und daß dei­ne Sei­te ins­ge­samt unsi­che­rer wird.

Nun ja, wirst du viel­leicht den­ken, Cloud­fla­re ist doch ein ver­trau­ens­wür­di­ges Unter­neh­men, die wer­den doch nicht mei­ne Paß­wör­ter abgrei­fen und etwa an die NSA weitergeben.
Nein, das wer­den sie auf kei­nen Fall tun. Da besteht über­haupt kei­ne Gefahr. Da mußt du dir kei­ne Sor­gen machen. Aber was ist, wenn sie die Paß­wör­ter ein­fach nur zur eige­nen Ver­wen­dung abgrei­fen, ohne sie wei­ter­zu­ge­ben? Nein, natür­lich wür­de Cloud­fla­re das auch nicht tun, Cloud­fla­re ist ein ver­trau­ens­wür­di­ges Unter­neh­men. Aber was ist, wenn das Unter­neh­men gar nicht die Paß­wör­ter abgreift, son­dern nur ein Mit­ar­bei­ter in dem Unter­neh­men das tut, ohne, daß das Unter­neh­men davon weiß? Ein Admi­nis­tra­tor könn­te das machen, unbe­merkt, heim­lich, ein­fach nur für sich selbst. Die Ver­su­chung könn­te groß sein, wenn es sich nur hin­rei­chend lohnt. Mit einer ech­ten Ende-zu-Ende-Ver­schlüs­se­lung gäbe es die­se Ver­su­chung nicht.

Das trifft frei­lich auf jedes Con­tent-Deli­very-Netz­werk zu, also auch zum Bei­spiel auf Aka­mai, aber Cloud­fla­re ist beson­ders schlecht, weil es die Rever­se-Pro­xy-Diens­te in einer Grund­ver­si­on kos­ten­los anbie­tet und daher selbst das Word­press-Blog von Hinz und die Next­cloud-Instanz von Kunz hin­ter Cloud­fla­re gepackt wer­den und Hinz und Kunz nun im Glau­ben sind, daß ihre Sei­ten siche­rer und schnel­ler sei­en, wobei die Sei­ten viel­leicht nur in Regio­nen schnel­ler sind, aus denen sie sowie­so nie abge­ru­fen werden.

Stimmt das denn alles überhaupt?

• Wenn auf der Web­sei­te von Cloud­fla­re über Ende-zu-Ende-Ver­schlüs­se­lung gespro­chen wird, geht es stets nur um die Ver­schlüs­se­lung des Traf­fics zwi­schen Besu­cher und Cloud­fla­re-Ser­ver und um die Ver­schlüs­se­lung zwi­schen Cloud­fla­re-Ser­ver und dei­nem Ser­ver. Daß der Traf­fic auf dem Cloud­fla­re-Ser­ver zwi­schen­drin ent­schlüs­selt wer­den muss, also zumin­dest tem­po­rär auf dem Cloud­fla­re-Ser­ver unver­schlüs­selt vor­liegt, wird nicht erwähnt. Das klän­ge auch nicht beson­ders gut, wenn es dar­um geht, einen Dienst zu prei­sen, der die Sicher­heit dei­ner Web­sei­te erhö­hen soll.
• Daß dei­ne Sei­te sta­tis­tisch gese­hen öfter nicht erreich­bar ist, liegt dar­an, daß sich die Aus­fall­wahr­schein­lich­kei­ten dei­nes Ser­vers und die der Cloud­fla­re-Ser­ver addie­ren. Neh­men wir an, dein Ser­ver hat eine Aus­fall­wahr­schein­lich­keit von 0,5 und die Aus­fall­wahr­schein­lich­keit der Cloud­fla­re-Ser­ver liegt bei 0,005, dann ist die Gesamt­aus­fall­wahr­schein­lich­keit 0,5 + 0,005 – 0,5 * 0,005, also 0,5025. (Sie­he dazu hier!)

Macht es dann über­haupt Sinn, ein CDN wie Cloud­fla­re zu nut­zen? Ja, wenn man weiß, was man tut, dann schon. Du kannst dich z.B. hier etwas ein­le­sen.
.