ความน่ากลัวของการดักฟังที่ได้รับการสนับสนุนจากรัฐแบบที่เปิดเผยโดย NSA ทำให้ผู้ให้บริการที่เคยไว้ใจการเชื่อมต่อระดับศูนย์ ที่ไม่น่ามีใครดักฟังได้ ไม่เชื่อใจกันอีกต่อไป CloudFlare ผู้ให้บริการกระจายข้อมูลไปยังผู้ใช้จึงเพิ่มบริการเชื่อมต่อ SSL แบบใหม่เพิ่มเติม

ก่อนหน้านี้ CloudFlare ให้บริการความปลอดภัยสามแบบ คือ ปิดการเข้ารหัส ไม่มีการยืนยันใดๆ, เปิดการเข้ารหัสเฉพาะข้อมูลที่กระจายออก แต่รับข้อมูลจากเซิร์ฟเวอร์โดยไม่เข้ารหัส (Flexible SSL), และเข้ารหัสเต็ม (Full SSL) แต่แม้จะเป็น Full SSL ทาง CloudFlare ก็ไม่ได้ยืนยันใบรับรองการเข้ารหัสกับเซิร์ฟเวอร์ลูกค้าแต่อย่างใด ทำให้มีความเสี่ยงที่จะถูกทำ man-in-the-middle

บริการ Full SSL (Strict) จะตรวจสอบใบรับรองของผู้ให้บริการที่เป็นลูกค้า CloudFlare กับ Certification Authority (CA) ก่อนที่จะยอมรับการเชื่อมต่อ ทาง CloudFlare เตือนว่า CA ที่ CloudFlare ยอมรับนั้นจะคัดมาเฉพาะเพื่อป้องกัน CA ที่มีประวัติไม่น่าเชื่อถือ ส่วนลูกค้าที่ใช้บริการ Full SSL และใบรับรองตรวจสอบแล้วว่าสามารถใช้ Full SSL (Strict) ได้ จะถูกปรับบริการอัตโนมัติ

หลังประกาศบริการนี้ CloudFlare ส่งโค้ดกลับต้นน้ำคือ nginx ทำให้ nginx สามารถตรวจสอบใบรับรองของเซิร์ฟเวอร์ต้นทางก่อนรับการเชื่อมต่อ, ตรวจสอบรายการยกเลิกใบรับรอง, และรองรับ SNI ในกรณีที่เซิร์ฟเวอร์ต้นทางให้บริการหลายโดเมนในเครื่องเดียวกัน

ที่มา - CloudFlare