Ich nutze seit geraumer Zeit Cloudflare Free für alle meine Seiten. Nun bis auf einige Ausnahmen wo ich Cloudflare Pro nutze.
Die Webserver IP wurde leider schnell herausgefunden, wie derjenige meint über ein nicht publiziertes Tool, wie ich meine über einen Bilderdownload (a la URL zum downloaden der Datei als Userbild), durch IP scannen mit check ob auf Seite xyz.de reagiert wird oder den sendmail header.
Alle 3 Punkte sind behoben.
Ich stelle hier mal Pro und Kontra mit jeweils einem kleinen Kommentar auf:
Pro:
- Simpler Http/s Flood Schutz (Free+)
- Simpler, Idr einfach zu umgehender IP cloak (sofern man sich keine Gedanken um oben genannte Möglichkeiten macht)
- Erweiterter DDoS und Origin Schutz mittels eigener CF IP (Business+)
- Polish verkleinert Bilder wo es nur geht, lossy oder lossless (Pro+)
- Mirage beschleunigt das laden über Smartphones indem es die Bilderladereihenfolge optimiert
- Generell der Cloudcache, es beschleunigt die Website und endlastet den Server.
- Shared Https für alle!
- Https private Zertifikate gegen Aufpreis.
- OWASP Modul und generelles CD Sicherheits Modul super!
- Always On Seitenspiegel
Contra:
- Fragliche Privatsphäre, ggf. Leicht zu umgehen durch bekannte private Keys.
- Business+ viel zu teuer.
- Rocketloader Modul zerstört in den meisten Fällen die Website.
- Die Shared https Zertifikate(SNI) können bei extrem veralteten Browsern Probleme bereiten.
- Mittels der beiden cloudflare Nameservern kann man rekursiv nach ausgelieferte Websites schauen und Zusammenhänge der Websites sehen, da ein Account an ein Nameserverpaar gebunden ist
- Standard IP cloak zu lasch, guter cloak zu teuer
Alles in allem bin ich zufrieden mit Cloudflare, irgendwann muss man mal den Aluhut abnehmen.