Cloudflare ist so eine große Sache, ich hab da mal ein neues Thema auf gemacht:
Bezüglich Verifizierung und Verteilung von Installations-Dateien habe ich folgende Vorschläge:
-
Wenn Ihr euch wirklich noch nicht von Cloudflare trennen könnt, dann könntet Ihr euch eine extra Domain oder Subdomain neu anlegen, zB https://download.bitbox.swiss/
-
Bei dieser Subdomain lässt Ihr Reverse-Proxy-Dienste wie Cloudflare deaktiviert.
-
Ihr macht ein Extended-Validation-SSL-Zertifikat bei eine vertrauensvollen Zertifizierungsstelle wie es üblicherweise eCommerce-Webseiten oder Banken machen. Dann ist euer Zertifikat im Browser wie hier im Beispiel PayPal zu sehen und eure Benutzer können euren Webserver verifizieren:
-
Diesen Webserver könnt Ihr gegen DDoS-Angriffe härten mit einem performanten web server accelerator ohne PHP, Perl, Ruby, MySQL, Java, etc. Es wird hier sowieso nur Kopien von Kopien von statischen Text bzw. Bildern veröffentlicht. Also DDoS-Angriffe machen hier kaum Sinn da diese Kopien sowieso mehrfach im Netz vorhanden sind.
-
Ihr veröffentlicht hier die Prüfsummen (Fingerabdrücke) eurer Zertifikate sowie die Download-Links ähnlich euer jetzigen Download-Seite aber eben ohne Spielereien wie CMS und Javascript Missbrauch wie Canvas Fingerprinting.
-
Ihr verwendet ein dezentrales Speichernetzwerk um ein Single Point of Failure (SPOF) zu vermeiden. zB das altbewärte BitTorrent oder das moderne InterPlanetary File System (IPFS). IPFS hat keinen Single-Point-of-Failure, und Knoten müssen sich nicht gegenseitig vertrauen, mit Ausnahme derjenigen Knoten, mit denen sie verbunden sind. Verteilte Inhaltsauslieferung reduziert Übertragungsvolumen und verhindert DDoS-Angriffe, welche bei der Nutzung von HTTP möglich wären.
So, ich hoffe ich hab nicht vergessen zum Thema Vertrauenskette mit einer zentralen Zertifizierungsstelle als Vertrauensanker.