Heroku + Cloudflare 完全免费的 SSL

Posted 2023-02-19

【中文标题】Heroku + Cloudflare 完全免费的 SSL

【英文标题】：Heroku + Cloudflare completely free SSL

【发布时间】：2014-11-25 17:13:44

【问题描述】：

尝试在 Heroku 上使用 Cloudflares 获得完全免费的 SSL 新免费 Universal SSL

阅读这篇文章： http://mikecoutermarsh.com/adding-ssl-to-heroku-with-cloudflare/

这似乎表明 Cloudflare 免费提供 SSL 是可能的。

我采取的步骤：

使用 Cloudflare 设置我的 DNS（免费帐户） 将我的域转发到我的 herokuapp（CNAME example-app.com -> example-app.herokuapp.com） 将 Cloudflare SSL 选项设置为“完整 SSL” 将我的域添加到我的 Heroku 应用程序

用这个 express 中间件强制 https：

app.use(function(req, res, next) 
    if (req.headers['x-forwarded-proto'] != 'https') 
        res.redirect('https://' + req.headers.host + req.path);
    
    else 
        return next();
    
);

heroku 域http://example-app.herokuapp.com 工作正常并重定向到https://example-app.herokuapp.com、绿色锁和所有。

http://example-app.com 和 https://example-app.com 都不起作用。浏览器选项卡图标一直在旋转，永远不会解决。关于如何使它工作的任何想法？这甚至可能吗？

*更新

这看起来实际上是可能的。来自 CloudFlare 支持：

嗨，比尔，

基本上，只要“来源”支持 SSL 连接，您就可以将 Full SSL 与 CloudFlare 一起使用。

西蒙

CloudFlare 今天发布了这篇博文： https://blog.cloudflare.com/universal-ssl-be-just-a-bit-more-patient/

我的网站已开始解析，但收到一条“您的连接不是私密的”消息，就像博文的“您可能会看到的错误”部分一样。在我的 CloudFlare 设置中还有一个“SSL 发布”警报，所以我想一旦它发出，这可能会起作用。我会及时通知你们的。

【问题讨论】：

不，如果您想为 Heroku 上托管的自定义域启用 SSL，则必须每月支付 20 美元。

@idbehold 你读过这篇文章了吗？它建议你不要。 mikecoutermarsh.com/adding-ssl-to-heroku-with-cloudflare

顺便说一句 - 使用来自startssl.com的免费 SSL 更容易做到这一点

顺便说一句，对于任何寻求免费 SSL 托管的人，您可以使用 OpenShift 免费托管您的 custom 域（只要您获得免费证书）。

@RobinWinslow 开放班次是 iaas，所以你可以安装 ssl 证书......对，就规格而言，它与 heroku 相比如何，免费一个。我还读到你在 openshift 上只能有 3 个免费实例。

【参考方案1】：

要让 apex 域正常工作，您可能需要使用支持 ALIAS 记录的 DNS 提供商，Cloudflare 也支持 DNS 和 would likely work。此处列出了更多提供商：https://devcenter.heroku.com/articles/custom-domains#root-domain

【讨论】：

CloudFlare 使用 CNAME Flattening，在 the article 中使用，这表明它是可能的。

他们的 CNAME 扁平化对我有用，对 foo.herokuapp.com 和 bar-baz.rhcloud.com 都有效，并且（非常轶事）不会干扰发给网站管理员的电子邮件@myapex.net（IIUC 是类似 ALIAS 的 DNS 的主要风险）。

【参考方案2】：

要使其正常工作，您需要在 Cloudflare 上为您的域创建一个页面规则。我的看起来像这样：

URL Pattern: my-domain.co/*
Forwarding to: https://www.my-domain.co/$1

从那里，您可以使用 www 上的 CNAME 指向 my-domain.herokuapp.com。

Cloudflare（和大多数其他 DNS 提供商）不允许根域的 CNAME 记录。仅适用于子域。 www 是一个子域，因此您可以将所有流量强制到 www 并将其命名为 heroku。

【讨论】：

CloudFlare 使用CNAME Flattening，在文章中使用它表明它是可能的。另外，这似乎对我不起作用。

这两种方式都有效。在我的 cloudflare 页面规则中，我有两个规则：[http]://exaple.org 到 [https]://exaple.org/ 和 www.exaple.org 到 [https]://exaple.org 这种方式 cloudflare 自动将我重新连接到 [https://]exaple.org 不幸的是，cloudflare 不支持免费的通配符子域、专业帐户或企业帐户，并且传闻允许通配符的企业帐户每月花费 500 美元。

【参考方案3】：

这确实按照我的设置工作。问题是 CloudFlare 花了几天时间才发布他们的Unlimited SSL。一旦在您的 CloudFlare SSL 设置下显示“SSL 活动”，它就会起作用。

【讨论】：

这里一样，2天前设置heroku和cloudflare，ssl今天开始工作

我读过它在用户和 cloudfare 之间是安全的，但在 cloudfare 和您的服务器之间不是安全的。是真的吗？此外，cloudfare 的 ssl 不适用于 android 2.xx 和 ie。 （我想如果你检测到并重定向到app.herokuapp.com

可悲（新）：“当应用迁移到新的基础架构时，其默认的 appname.herokuapp.com、DNS 记录和任何 haiku.herokudns.com 自定义域记录都被修改为指向新路由基础设施的 IP 地址。在 24-48 小时内，应用程序可通过新路由基础设施和旧路由基础设施访问。迁移完成后，应用程序将不再可通过旧路由基础设施访问，所有流量必须通过新的基础架构。发送到旧基础架构的应用请求将导致错误代码：H31 Misdirected Request。"

【参考方案4】：

有一个问题：Heroku 和 Cloudflare 之间不安全。

它可以与“灵活 SSL”一起使用——Heroku 和 CF 之间的未加密 HTTP。我们不希望这样。 它也适用于“完整 SSL”——Heroku 和 CF 之间的 HTTPS，但没有 CF 验证证书。 Heroku 提供了一个*.herokuapp.com 证书，CF 很高兴。不幸的是，Heroku 和 CF 之间的中间人可以提供自签名的snakeoil.co.mordor 证书，CF 也会同样高兴（用户无法判断，他们只看到 CF 的证书）！它记录在 CloudFlare 博客文章 Introducing Strict SSL 的 Full SSL 部分。 但是“完整 SSL（严格）”不起作用，因为 CF expects Heroku to present yourdomain.com cert，并给出了错误页面 :-( [您可以当然自己获得这样的证书并支付 Heroku 将其提供给 CF 的费用，但这又回到了原点……您确实获得了 CDN 的好处，但它不是“完全免费的 SSL Heroku"。] CloudFlare 文章 Configure CloudFlare and Heroku over HTTPS 中讨论了这种情况。

那么这种带有完整 SSL 的设置是否可以接受？有人可能会争辩说，CF 和 Heroku 之间的链接可能是“在云层之上的主干中”，并且对于主动攻击者来说相对难以控制，因此通信显然比没有 TLS 更安全。但它不是端到端安全的，你给用户一种错误的安全感，通常与 HTTPS 和绿色锁图标相关联，有些人会说这比提前使用更糟糕根本没有TLS... [查看https://news.ycombinator.com/item?id=8382335的意见]

截至 2015 年 2 月，我在 CF 中没有看到配置完全严格模式以期望在其他域上获得证书的选项。我不知道为什么 CF 不允许这样做，这显然在技术上是可行的。

【讨论】：

我会要求确认 Full SSL (Strict) 如果您配置类似 OP 链接的文章所建议的内容 - 使用 CNAME @ 987654330@，但后来我发现这篇 CloudFlare 文章Configure CloudFlare and Heroku over HTTPS 说了这么多:( 在你链接到的关于他们期望什么证书的文章中，当他们说“证书必须 [...] 响应请求域名（主机名)" 我猜他们的意思是用户请求中的主机名。

The Full(strict) SSL option checks for SSL certificate validity at the origin web server... or valid certificate purchased from a Certificate Authority is required to avoid 526 errors. heroku 在domain.herokuapp.com 提供的证书是有效的。所以你应该能够毫无问题地设置 Full(strict) 吗？ support.cloudflare.com/hc/en-us/articles/…

任何人都可以出示一些有效的证书。这个问题是有效的对于哪个域，我的理解是，Full Strict 需要您希望用户看到的同一个域的证书。好几年没用CF了，不知道是不是真的。