Cloudflare

De Analyse Développement Hacking
Sauter à la navigation Sauter à la recherche

Glider.png

Le wiki : Accueil - Administrateur - Bureautique - Développeur - Intégrateur - Marketing - Multimédia - Objets numériques - Jeux - We make Hack

Le site : Accueil - Annuaire - Blog - Forum - Outils - Utilisateur
Le FTP : Consulter les fichiers partagés sur le FTP
Le Redmine : Consulter le Redmine

Cloudflare

Cloudflare est un CDN gratuit et performant.
Site officiel : https://www.cloudflare.com/fr-fr/
Tarifs pour le CDN Cloudflare : https://www.cloudflare.com/fr-fr/plans/

Naviguer avec les DNS de Cloudflare pour contourner la censure

# Configuration globale pour ne pas utiliser les DNS des grands FAI français, car ils sont censurés, utiliser les DNS de Cloudflare.
# Clic-droit sur le gestionnaire de connexion réseau > Modification des connexions > choisir une connexion > Modifier… > onglet Paramètres IPv4.
# Choisir "Adresses automatique uniquement (DHCP)".
# Mettre 1.1.1.1 dans "Serveurs DNS supplémentaires".
# CloudFlare 1.1.1.1 : Privé et non filtré.
# Configuration spécifique au navigateur Firefox pour utiliser les DNS de Cloudflare directement depuis le navigateur.
# Dans les Options de Firefox / Général / Paramètres réseau :
# Utiliser les paramètres proxy du système, pas de proxy pour localhost, 127.0.0.1
# Activer le DNS via HTTPS : Cloudflare.

Changer les DNS de son site pour ceux de Cloudflare

Attention à ne pas créer d'effets de bord avec votre fichier hosts

# Lors de mes tests sur mon serveur distant et mon domaine, j'ai rencontré quelques difficultés avec le paramétrage du serveur.
# Après avoir pu globalement identifier la cause de certaines erreurs, le résultat final n'était pas réellement concluant.
# Quelques mois après mes essais sur une autre problématique, il me semble avoir soulevé un point important !
# Mon fichier /etc/hosts en local contenait des redirections d'adresses IP pour certains de mes domaines !
# Il est préférable de bien vérifier ce fichier, pour ne pas créer des effets de bord !

Chez OVH

Changer les DNS d'un domaine OVH

# Configurer Cloudflare avec OVH depuis le panel administrateur de OVH, le domaine à configurer, Serveur DNS.
# Supprimer les DNS de OVH :
dns10.ovh.net
ns10.ovh.net
# Ajouter les DNS de Cloudflare :
arch.ns.cloudflare.com
athena.ns.cloudflare.com

# Je n'ai pas associé l'adresse IP 139.99.173.195 du serveur VPS aux DNS de Cloudflare.
# Seul les DNS de Cloudflare ont été ajouté depuis le Manager de OVH.
# Cette configuration suffit à me permettre l'utilisation du site.
# Patienter le temps de la propagation des DNS.
# Autoriser les adresses IP de Cloudflare.
# Le VirtualHost à l'écoute de l'adresse IP du serveur sur le port 80 autorise les adresses IP de Cloudflare.
# Le VirtualHost du domaine utilisant le CDN de Cloudflare prend le relais.
Require ip 103.21.244.0/22
Require ip 103.22.200.0/22
Require ip 103.31.4.0/22
Require ip 104.16.0.0/12
Require ip 108.162.192.0/18
Require ip 131.0.72.0/22
Require ip 141.101.64.0/18
Require ip 162.158.0.0/15
Require ip 172.64.0.0/13
Require ip 173.245.48.0/20
Require ip 188.114.96.0/20
Require ip 190.93.240.0/20
Require ip 197.234.240.0/22
Require ip 198.41.128.0/17
Require ip 199.27.128.0/21
Require ip 2400:cb00::/32
Require ip 2405:8100::/32
Require ip 2405:b500::/32
Require ip 2606:4700::/32
Require ip 2803:f800::/32
Require ip 2a06:98c0::/29
Require ip 2c0f:f248::/32
# Depuis le manager de Cloudflare :
# Aller dans SSL/TLS et passer en Full (strict) Encrypts end-to-end, but requires a trusted CA or Cloudflare Origin CA certificate on the server.
# Le site est maintenant accessible.

Erreurs rencontrées

Propagation des DNS effectuée mais le domaine renvoie une erreur 403
# D'après le fichier error.log de Apache2, c'est mon VirtualHost qui gère l'adresse IP qui répond directement avec une erreur 403.
# J'ai renommé le VirtualHost 139.99.173.195.conf en xyz-139.99.173.195.conf pour permettre aux autres VirtualHost de correspondre avant ce VirtualHost qui gère l'accès direct via l'adresse IP.
La redirection du domaine.ext vers www.domaine.ext ne fonctionne pas
# En cas de problèmes de configuration Cloudflare qui empêcherait votre site et son VirtualHost de fonctionner correctement, supprimer le site depuis l'interface de Cloudflare.
# Faire alors une réinitialisation des DNS de OVH. Il n'est pas nécessaire de faire une réinitialisation minimaliste.
# Rediriger le domaine vers l'adresse IP de votre serveur. Patienter.
# Le site devrait être fonctionnel au bout des quelques minutes.
# Sinon, il faudra vérifier la configuration du VirtualHost.
# Vérifier alors les options de configuration du serveur pour le site : CSP, HSTS pour la redirection sécurisée ...
# Le site doit être accessible avec les DNS par défaut de OVH avant de passer vers Cloudflare.
# Recommencer la configuration de Cloudflare.
# Configurer le fichier hosts :
cd /etc
sudo nano hosts
139.99.173.195 tiger-green.fr www.tiger-green.fr
# Actualiser la prise en compte du fichier hosts :
exec bash
# Redémarrer le serveur Apache2 :
sudo service apache2 restart
# Changer les DNS depuis Cloudflare (A vérifier - Pas forcément indispensable.) :
A tiger-green.fr 139.99.173.195 Automatique Proxysé
A www 139.99.173.195 Automatique Proxysé
# Par :
A tiger-green.fr 139.99.173.195 Automatique Proxysé
CNAME www tiger-green.fr Automatique Proxysé
Des éléments visuels de /wp-admin sont bloqués par la politique de sécurité X-Content-Type-Options nosniff
# La redirection https fonctionne maintenant parfaitement, mais, des éléments visuels de /wp-admin sont bloqués par la politique de sécurité X-Content-Type-Options nosniff.
# Je n'est pas trouvé comment faire pour que ces éléments ne soient pas bloqués.

Erreurs rencontrées sur Cloudflare

# Cloudflare semble être souvent instable.
# Parfois, les modifications semblent instantanée, puis, elles ne fonctionnent plus.
# Régulièrement des erreurs 5xx indiquent que l'accès au serveur est impossible alors que le serveur est en ligne.
# D'après mes lectures sur un autre tutoriel dédié à Cloudflare, il semble que cela se produise pour 3% de la navigation.
# Conversation ouverte sur la page de la communauté de Cloudflare :
https://community.cloudflare.com/t/ovh-domaine-with-vps-use-cloudflare-free-error-403

Résoudre l'erreur 521 de Cloudflare

# Désactiver le module mod_reqtimeout de Apache2 :
sudo a2dismod reqtimeout
https://community.cloudflare.com/t/community-tip-fixing-error-521-web-server-is-down/42461

Résoudre l'erreur 525 de Cloudflare

# Un VirtualHost mal configuré ne permettra pas la connexion avec Cloudflare.
# Définition de l'erreur Code d'état HTTP 525 :
# Message (en anglais) : SSL Handshake Failed
# Message (en français) : Échec de la prise de contact SSL
# Le service de proxy inversé de Cloudflare étend la zone d'erreurs 5xx pour signaler des problèmes avec le serveur d'origine.
# Une erreur 525 indique que CloudFlare n'a pas pu contacter votre serveur d'origine et créer une connexion SSL avec lui.
# Techniquement, Cloudflare n'a pas pu négocier un SSL/TLS handshake avec le serveur d'origine.
# Les réponses de code d'état 5xx indiquent une situation dans laquelle le serveur sait qu'il est la cause de l'erreur, ou est incapable de fournir le service demandé, bien que la requête ait été correctement formulée. Si le client reçoit cette réponse alors qu'il n'a pas encore terminé d'envoyer des données, il doit cesser immédiatement toute émission vers le serveur.
# Excepté lorsque la requête invoquée est de type HEAD, le serveur peut inclure une entité décrivant les causes de l'erreur, et s'il s'agit d'une condition permanente ou temporaire.
# Ces réponses s'appliquent quelque soit la requête, et ne nécessitent pas de champs d'en-tête particuliers.
# Différentes pistes pour résoudre l'erreur 525 :
# Le site internet peut ne pas avoir une adresse IP unique dédiée, un serveur avec une adresse IP pour un site internet.
# Le serveur qui héberge plusieurs sites n'est pas configuré pour utiliser SNI.
# Le certificat n'est pas installé correctement.
# Un certificat Let's Encrypt sera bien reconnu comme certificat CA valide avec Cloudflare.
# Utiliser les certificats générés à partir de Cloudflare pour les copier sur le serveur et les ajouter dans le VirtualHost.
# Le serveur ne dispose pas de chiffrements SSL correspondant ou compatible.
# Vérifier que les Ciphers utilisés correspondent à ceux reconnu par Cloudflare pour garantir la correspondance des Ciphers.
# Ressources complémentaires :
Erreur 525 sur Cloudflare : https://community.cloudflare.com/t/community-tip-fixing-error-525-ssl-handshake-failed/44256
Les algorithmes et Cipher reconnus sur Cloudflare : https://en.wikipedia.org/wiki/Transport_Layer_Security#Key_exchange_or_key_agreement
Erreur 525 sur Cloudflare : https://support.cloudflare.com/hc/fr-fr/articles/115003011431#525error

Résoudre l'erreur 526 de Cloudflare

# Avec l'activation de tiger-green.fr sur Cloudflare en SSL/TLS Full strict, je tombe sur une erreur 526 de certificat lorsque je consulte le site.
# D'après Cloudflare, la définition du mode Full (strict) est la suivante : Encrypts end-to-end, but requires a trusted CA or Cloudflare Origin CA certificate on the server.
# Il manquerait le certificat Cloudflare ou un certificat CA, mais, le certificat de Let's Encrypt est bien un certificat CA.
# Changer le paramètre de chiffrement de Cloudflare SSL/TLS en Flexible ne me permet toujours pas de consulter le site tiger-green.fr.
# La navigation fonctionne uniquement si ma règle à l'écoute du port 443 n'est pas ajoutée dans ce VirtualHost 139.99.173.195.conf que j'ai mis en place pour rediriger le trafic ciblant l'adresse IP.
# Je crée un certificat CA pour tiger-green.fr depuis Cloudflare et je le place dans le VirtualHost 139.99.173.195.conf.
# Pour créer un certificat Cloudflare automatiquement :
# Aller sur la page SSL/TLS onglet Origin Server :
# Origin Certificates
Generate a free TLS certificate signed by Cloudflare to install on your origin server.
Origin Certificates are only valid for encryption between Cloudflare and your origin server.

# Générer un certificat RSA, sa clé privée, et, télécharger le 3ème certificat origin_ca_rsa_root.pem

# Activer éventuellement l'option :
Authenticated Origin Pulls
TLS client certificate presented for authentication on origin pull.

# Ajouter dans le VirtualHost de l'adresse IP du serveur les trois certificats :
SSLCertificateFile /etc/apache2/ssl/cloudflare.pem
SSLCertificateKeyFile /etc/apache2/ssl/cloudflare.private
SSLCertificateChainFile /etc/apache2/ssl/origin_ca_rsa_root_cloudflare.pem

# Le site tiger-green.fr redirige vers la page index.html de /var/www/139.99.173.195 avec le cadenas au vert pour le certificat de Cloudflare.
# Mon problème de redirection vers le site perdure, que ce soit avec le certificat de Cloudflare ou de Let's Encrypt.
# Je n'ai plus l'erreur 526 avec l'utilisation du certificat de Cloudflare mais c'est toujours la page index.html du VirtualHost qui redirige le trafic ciblant l'adresse IP qui est déservie.
# Résolution de l'erreur 526 de Cloudflare :
# Le problème venait du nom donné au VirtualHost à l'écoute de l'adresse IP, nommé 139.99.173.195.conf.
# Nommer le VirtualHost ainsi fait qu'il était le premier à être chargé, par ordre alphabétique, et, le certificat Let's Encrypt ne pouvait pas correspondre au servername tiger-green.fr.
# Le certificat de Cloudflare, lui, correspondait, puisqu'il avait été placé dans le VirtualHost 139.99.173.195.conf mais il redirigeait vers /var/www/139.99.173.195/index.html ce qui ne correspondait pas au site.
# Renommer le VirtualHost en xyz-139.99.173.195.conf fait qu'il est utilisé en dernier. Les autres VirtualHost sont donc utilisés avant ce dernier VirtualHost xyz-139.99.173.195.conf.
# A ce moment la, la redirection de tiger-green.fr va fonctionner correctement.
# Si je tente de naviguer en utiliser l'adresse IP du serveur, le dernier VirtualHost xyz-139.99.173.195.conf prendra le relais.
# Le VirtualHost xyz-139.99.173.195.conf peut alors servir à définir une page erreur 403 pour les requêtes en provenance directe de l'adresse IP, ou, a effectuer une redirection vers un site choisi par défaut.
Source complémentaire : https://blog.cloudflare.com/cloudflare-ca-encryption-origin/
Source complémentaire : https://www.digicert.com/kb/csr-ssl-installation/apache-openssl.htm#ssl_certificate_install
Source complémentaire : https://support.cloudflare.com/hc/fr-fr/articles/200170416-HTTPS-de-bout-en-bout-avec-Cloudflare-Partie-3-Options-SSL
Source complémentaire : https://support.cloudflare.com/hc/fr-fr/articles/115003011431#526error
Source complémentaire : https://developers.cloudflare.com/ssl/origin/cipher-suites/

Vérifier le fonctionnement des mails

# La redirection de DNS qui a été effectuée a initialement copiée les enregistrements MX existants.
# Il est indispensable de vérifier si les mails sortent encore, ou, si des modifications de configuration doivent être menées.

Pour la plupart des hébergeurs

https://support.cloudflare.com/hc/fr-fr/articles/205195708-Changer-les-serveurs-de-noms-de-votre-domaine-pour-Cloudflare

Certificat gratuit pour Tor avec Cloudflare

Onion Routing est maintenant disponible pour tous les clients Cloudflare, activé par défaut pour les plans Free et Pro.
L'option est disponible dans l'onglet Crypto du tableau de bord Cloudflare.
Source : https://blog.cloudflare.com/cloudflare-onion-service/
Coupler l'option de Onion Routing de Cloudflare avec https-everywhere semble permettre une meilleure sécurité.
Source : https://www.eff.org/https-everywhere

Plage des adresses IP de Cloudflare

https://www.cloudflare.com/ips/

Page Rules

Toujours utiliser HTTPS

# Basculer tout le trafic en https une fois le contenu mixte définitivement éliminé.
*tiger-green.fr/*
Toujours utiliser HTTPS

Utiliser un Worker

# Permet de redéfinir les headers d'un site, par exemple.
https://scotthelme.co.uk/security-headers-cloudflare-worker/

Optimiser un site WordPress pour Cloudflare

Il est possible de modifier les paramètres du compte Cloudflare directement depuis le plugin .
Installer le plugin Cloudflare : https://wordpress.org/plugins/cloudflare/
Après avoir installé le plugin, entrer votre adresse mail Cloudflare et votre clé API dans les paramètres.
Ajouter la Global API Key qui se trouve depuis l'icône de menu aperçu, Obtenir votre jeton d’API, afficher la Global API Key.

Bibliographie

Ok-ko.png WordPress en https (SSL) gratuitement avec Cloudflare : https://www.around-annapurna.com/web/wordpress-en-https-ssl-gratuitement-avec-cloudflare/
Ok-ko.png Passer son site en HTTPS gratuitement et facilement grâce à CloudFlare et One-Click SSL : https://www.mister-wp.com/tutos/https-cloudflare-ssl/
Ok-ko.png CloudFlare, un CDN gratuit et performant : https://wp-infinity.com/tutoriels-wordpress/vitesse-wordpress/cloudflare-cdn-gratuit-performant/
Ok-ko.png Mettre en place le CDN CloudFlare sur WordPress : https://www.hebergementwordpress.fr/mettre-en-place-le-cdn-cloudflare-sur-wordpress/
Ok-ko.png Comment installer Cloudflare sur votre site WordPress : https://kinsta.com/fr/base-de-connaissances/installer-cloudflare/
Ok-ko.png Configuration du SSL de Cloudflare : https://www.cloudflare.com/fr-fr/ssl/

NAVIGATION

PARTICIPER ET PARTAGER

Bienvenue sur le wiki de Vision du Web.
De nombreuses pages sont partagées sur ce wiki.
Créer un compte utilisateur pour participer sur le wiki.
Les pages présentées sur le wiki évoluent tous les jours.
Certaines recherches sont peu abouties et incluent des erreurs.
Utiliser la recherche interne du wiki pour trouver votre contenu.
La page de discussion de VisionDuWeb vous permet de poser une question.
Utiliser la recherche interne du site pour chercher dans tout le contenu.
Ce contenu ne doit pas servir à nuire à autrui ou à un système informatique.
Protéger votre système Linux ou Windows en lisant la page dédié à la sécurité.
Améliorer le contenu des pages avec vos propositions depuis l'onglet discussion.

SOUTENIR CE WIKI

Soutenir le wiki avec un don en monnaie numérique :
AEON - Bitcoins - Bitcoins Cash - Bitcoins Gold - Bitcore - Blackcoins - Basic Attention Token - Bytecoins - Clams - Dash - Monero - Dogecoins - Ğ1 - Ethereum - Ethereum Classique - Litecoins - Potcoins - Solarcoins - Zcash

OBTENIR DE LA MONNAIE NUMERIQUE

Obtenir gratuitement de la monnaie numérique :
Gagner des Altcoins - Miner des Altcoins.