@dziq 🐗 @Tomasz Dunia mechanizm jest taki, że w najczęściej używanej konfiguracji (a w darmowej opcji jest tylko taka) certyfikat dla domeny wystawia #cloudflare i szyfrowane połączenie jest zakończone ( czyli odszyfrowane) na ich proxy, gdzie mają otwarty dostęp do CAŁEJ treści przesyłanej w obie strony, czyli również do wszystkich poufnych rzeczy typu hasła, klucze itd. W ten sposób to #szyfrowanie jest w zasadzie fikcją, bo nawet mając serwer pod swoją kontrolą nie sposób zagwarantować drugiej stronie, żeby tylko ona i my znamy treść połączenia, skoro po drodze wszystkiego sobie słucha jakaś trzecia prywatna firma. Słucha i pewnie nagrywa dla jakiegoś #NSA itp. Oczywiście słucha zupełnie "legalnie" w sensie, że taką nam złożyła ofertę "my sobie tu będziemy podsłuchiwać ale dzięki temu odfiltrujemy wszystkich złych, którzy mogą zaatakować twoją stronę, wszelkie boty itd, itd." a my ją akceptujemy. "MY" w sensie kilkudziesięciu milionów właścicieli domen, bo oczywiście żaden z nich nie pyta swoich gości czy się na to piszą wchodząc na stronę.

@dziq 🐗 @Tomasz Dunia Ale masz na myśli sytuację, że używasz CF proxy ze swoim certyfikatem ? To nic nie zmienia, poza tym, że to dostępne tylko w płatnym planie . Jeśli twój (w sensie wystawiony przez kogoś innego niz CF) cert będzie na ich proxy to nadal szyfrowane połączenie będzie tam miało swoje zakończenie i będą mieli wgląd we wszystkie dane. Drugi kawałek połączenia (proxy CF <-> twój serwer ) też może (powinien!) być szyfrowany ale już wcześniej, na proxy CF "mleko się rozlało". BTW ponieważ ten drugi kawałek połączenia może ale nie musi być szyfrowany (CF tego nie wymaga) to jest kolejna potencjalna sytuacja oszukiwania ludzi, którzy wchodzą na stronę: widzą zieloną kłódkę i zgodnie ze wszystkim co się kładło do głowy przez ostatnie ~dziesiąt lat wierzą, że CAŁE połączenie klient-serwer JEST bezpieczne. A to g*no prawda, bo jest bezpieczne tylko od przeglądarki do proxy CF.