Funktioniert Cloudflare nicht?

Es geht los. Firefox macht das Internet kaputt. Bald besteht das Netz nur noch aus Cloudflare, Amazon und Facebook.

@rootLogin @Cloudflare Cloudflare ist definitiv ein anderes Thema, und effektiv ein Problem (sowohl bezüglich Überwachung wie auch bezüglich „Zensur“)

@33dBm Würde eh keine Provider DNS nutzen, sofern man diese einfach umgehen kann wie beim DSL. Auf iPhone wo man nur APN anpassen kann, bleibt halt nur Telekom DNS. DNSsec ist noch nicht wirklich Thema bei Telekom, leider. Bevorzuge da Google oder CloudFlare.

Wir entschuldigen uns für den derzeitigen Ausfall unserer Webseite. Grund dafür ist eine Layer7 DDoS-Attacke. Aktuell können wir den Angriff durch unseren eigenen DDoS-Schutz besser abwehren als mit Cloudflare. Updates zu der aktuellen Situation posten wir als Kommentar.

Wir entschuldigen uns für den aktuellen Ausfall unserer Webseite. Grund dafür ist eine Layer7 DDoS-Attacke. Aktuell können wir den Angriff durch unseren eigenen DDoS-Schutz besser abwehren als mit Cloudflare. Wir bitten um Entschuldigung und informieren bei weiteren Updates.

Cloudflare ist die größte Scheiße auf dieser Welt

@likenyx TLDR: DNS over HTTP soll bald standard in Firefox werden (schlecht) mit Cloudflare als Default DoH provider (sehr sehr sehr schlecht).

@9tsee @kaffeeding TLDR: Firefox setzt auf DoH mit Cloudflare als Standardsetting, was obviously schlecht ist.

@swissky Ahh hast also doch ein VPN! CloudFlare kann gerne mal alles kaputt machen. Lösch mal die App und entferne alle Profile davon im VPN Menu, starte alles neu und versuch's nochmal.

@bunterniels @DKB_de Interessant. dkb(.)de bei Amazon und www(.)dkb(.)de bei Cloudflare. Da verliert man so langsam doch wirklich den Überblick.

@MichaelBonvalot Cloudflare vor die Seite pappen, Problem gelöst

@KC_Heine @kuketzblog Ja Whatsapp. Legen zb. die Backups auf GoogleDrive unverschlüsselt ab. Ergo kannst alles nachvollziehen. Oder Cloudflare. Wird dort entschlüsselt und wieder verschlüsselt. Alles komplexe Themen.

@dabnl1 [2/2] Die Leute regen sich auf, weil Cloudflare damit Zugriff auf die kompletten Daten innerhalb des Online-Banking hat. Genau deswegen ist deine Aussage "andere Banken hängen dauerhaft in einem CDN" ja auch so total am Thema vorbei. Echt toxisch!

2/ die haben jetzt #Cloudflare vorgeschlagen. Mein letzter Stand ist aber, dass das eig nicht so sinnvoll ist, da die ja erstmal alle (Meta)Daten abschnorcheln und das auch noch über amerikanische Server. Der Dienstleister sieht da kein Problem.

@Littlericket @SvenWOracle @julian24 @DKB_de @Cloudflare Ich weiß ja, dass eine Phase der Trauer die Leugnung ist. Aber die Menge an Realitätsverzerrung bei diesem Thema ist langsam etwas überwältigend.

@ITFinanzmagazin Man könnte ja auch einfach den Service von DE-CIX nutzen. Macht das gleiche, nur in Deutschland. Gerade in Anbetracht, dass die DKB vermutlich nur deutsche Kunden hat, müsste der Traffic Deutschland nicht Mal verlassen... Aber wahrscheinlich war Cloudflare einfach günstiger...

@xyahe @SvenWOracle @julian24 @DKB_de @Cloudflare du _musst_ keine Privaten Keys hinterlegen, kannst es aber. Und laut einem Screenshot gabs nen handshake fehler. Aber... du als „Security“-Guy solltest das wissen.

@xyahe @SvenWOracle @julian24 @DKB_de @Cloudflare Halt mal - du vergisst hier etwas ganz relevantes: Wir haben einen SSL handshake Fehler gesehen! Das bestätigt eher zu 99%, dass CF den Traffic zwar tunnelt und filtert, aber nicht verschlüsselt!

@wifi_freak @erdgeist Naja, bei Cloudflare sehe ich ja, dass die CF HTTP Header eingefügt werden. Ansonsten hängt es ja davon ab, ob Zwischenstellen das Zertifikat haben oder fehlerfrei austauschen können.

@Knightyyyy1 Punkt ist halt: du als Kunde kannst das nur dann herausfinden, wenn dir im Angriffsfall nen Captcha präsentiert wird oder sie zusätzliche Header einfügen (so wie es Cloudflare macht). Ansonsten weiß niemand, wo die TLS-Verbindung wirklich terminiert wird.

Gerade ein wenig gestochert zum Thema Online Banking, DKB und Cloudflare: Deutsche Bank: AS8383 via Akamai / Prolexic AS32787 N26: Amazon bunq: Amazon Commerzbank: AS16365 via Link11 AS34309 Hypovereinsbank: AS16379 via Akamai / Prolexic AS32787

@julian24 @digitalreisen Probleme (z.B. 2FA Login Bestätigung in App, Cashback Links, Zugriff auf Wertpapier PDFs) gab es auch nachdem Cloudflare zugeschaltet wurde. Ich denke die sind noch immer im „Repariermodus“ und haben noch gar keine Zeit für so Sachen wie Datenschutz & Kundeninformationen dazu🤓

@julian24 @digitalreisen Probleme (z.B. 2FA Login Bestätigung in App, Cashback Links, Zugriff auf Wertpapier PDFs) gab es auch nachdem Cloudflare zugeschaltete wurde. Ich denke die sind noch immer im „Repariermodus“ und haben noch gar keine Zeit für so Sachen wie Datenschutz & Kundeninformationen dazu🤓

@julian24 @digitalreisen Probleme (z.B. 2FA Login Bestätigung in App, Cashbank Links, Zugriff auf Wertpapier PDFs) gab es auch nachdem Cloudflare zugeschaltete wurde. Ich denke die sind noch immer im „Repariermodus“ und haben noch gar keine Zeit für so Sachen wie Datenschutz & Kundeninformationen dazu🤓

@GohrNanno Kunde <-> Cloudflare <--- Dein(e) Upstream Provider ---> Loadbalancer Bei deinen Upstream Providern lässt du nun allen Traffic verwerfen der für deinen Loadbalancer ankommt und der nicht von Cloudflare stammt. (Die internen Cloudflare IPs kennt du als Business Kunde)

Hey #DKB, bekommt euren Scheiß zusammen. Es kann nicht sein, dass ich auf Website (und zusätzlich in der App, wo ich die Anmeldung bestätigen muss) ein ReCAPTCHA lösen muss. Cloudflare ist ebenfalls höchst fragwürdig.

@wifi_freak Konform ist Cloudflare ja auch, aber sie selber sagen, dass sie nur Processor sind, und der Kunde Controller ist. In welchem Fall der Kunde seine eigenen Kunden über die Nutzung der Processors eben aufklären muss.

Hey @DKB_Support ich als Kunde habe keine Informationen erhalten über die Umstellung zu @Cloudflare. Das ist schon sehr suboptimal. #kritis #fintech #Banking

@_codesight_ @mkepert @DKB_de @Cloudflare Soweit ich weiß ging das noch nie und Anwendungen haben für die Kreditkartendaten Webscraping betrieben, was damals halt ohne zweiten Faktor beim Login ging.

@dari0x @frankfeil Weil es prinzipbedingt so ist: "Cloudflare recommends end-to-end encryption of traffic between site visitors and the Cloudflare network and between Cloudflare’s network and your origin web server." Ohne würde das so nicht funktionieren, nicht die Captchas, nicht die shared IPs.

@kuketzblog @DKB_de ... laut diversen Beobachtungen [1] [2] ist Cloudflare theoretisch in der Lage, sämtlichen (Daten-)Verkehr einzusehen – auch die vom Online-Banking bzw. Kontoinformationen. Okay, neue Bank suchen. Scheiße.

@DKB_de Sie liefern ja freiwillig die Login-Daten an ein Unternehmen, welches augenscheinlich nicht der europäischen Rechtsgrundlage zur Auftragsverarbeitung gemäß #dsgvo unterliegt. #cloudflare

@mschelterGC @PhillipGoik @paekhh 😁Also ich nutze entweder den DNS von der Telekom oder Cloudflare und Google aber mit Cloudflare habe ich einen schlechteren Ping als mit dem Telekom DNS soll ja bei Vodafone bekannt sein das Problem mit den DNS Servern zum glück bin ich Telekom Kunde🤣

@PPCIS @heisec @teltarif Nur um das nochmal deutlich zu machen. Es geht nicht darum dass Cloudflare hier also DDOS-Wall agiert. Was schon schlimm genug ist. Cloudflare fügt Daten in die SSL-Verbindung ein. Was man ohne Probleme sehen kann. Folglich *kann* gar keine E2E-Verschlüsselung mehr existieren.

@PPCIS @heisec @teltarif Ich setze Cloudflare an keiner Stelle als Inhalteanbieter ein. Als Kunde kommt man oft genug nicht drumherum. Du darfst mir aber gerne die Sorge nehmen dass Cloudflare die Möglichkeit hat Daten mitzulesen.

@mipapo @julian24 @DKB_de Das Problem geht aber hier eher darum, dass Cloudflare deine Daten im Klartext mitlesen kann, da sie deine Daten auf ihren Servern entschlüsseln.

"Einmal mit Profil arbeiten!" Erst „denial of service“ (DOS) bei der #DKB und jetzt eine US Firma, die als „Man in the middle“ die Daten (inkl Passwörter) im Klartext mitlesen darf. 🙈 #cloudflare

@TobySchwan Ob im aktuellen Fall weiß ich nicht. Aber Unitymedia hat ja häufig Probleme und sehr oft ist der DNS Schuld. Kann Cloudflare, Quad9, oder den Google DNS empfehlen.Hat bei uns generell die Zuverlässigkeit des Anschlusses massiv verbessert. Am besten natürlich direkt ein Pi-hole ;)

@sleeksorrow @aGermanFellow @kinghaunst Finde aber keine Info, ob Cloudflare das überhaupt anbietet. Der Standard-Service ist definitiv ein von der Original-Seite zugelassener MitM.

@DaOrgeStrizzi Wenn es nicht gehen sollte versuchs mit einem VPN sollte der Server mit Cloudflare geschützt werden wird höchstwahrscheinlich dein IP-Bereich bei Cloudflare blockiert hatte dieses Problem mal vor Jahren Viel Glück 😂

@DKB_de Ich betrachte die Verwendung von Cloudflare als Totalversagen eurer IT. Dieser Dienstleister (zusätzlich ohne Ankündigung, ohne AGB Anpassung) hat _nichts_ beim Onlinebanking verloren. Ich bin seit 11 Jahren sehr zufriedener Kunde, aber nach diesen Tagen ist der ... /1

@HeptaSean @DKB_de (Vielleicht wurden auch neue Zertifikate für neue Keys auf den Cloudflare Servern ausgestellt. Der Unterschied für das o.g. Problem wäre nicht vorhanden, aber wenigstens wären dann keine private keys rum geschickt worden)

@maxischieder @TimoNowitzki @D0s3d @bastischubert @julian24 @DKB_de @myrasecurity Ja in den Default Access Logs ist es nicht drin... aber Cloudflare nutzt ja eine eigene nginx Version... das einzubauen ist das kleinste Problem wenn TLS schon terminiert ist.

@pmullr @DKB_de SSL terminiert bei Cloudflare. Dort ist also alles im Klartext, was Du im Onlinebanking siehst oder schickst. Also Deine Logindaten, die Du beim Login hinsendest. Und wenn Du den Kontostand angezeigt bekommst. Und wenn Du die Umsätze aufrufst. Und die TAN der Überweisung.

@julian24 @DKB_de Vllt kann Cloudflare ja gegen die DDOS Attacken helfen. Ich hab damit jetzt kein Problem, aber kann schon verstehen, wenn es einige nicht so toll finden.

Der Moment, wenn man feststellt, dass das Online-Banking der eigenen Bank hinter Cloudflare hängt. Ich hoffe, zumindest der SSL-MitM ist abgeschaltet...

@datenpass @DKB_Support Für Cloudflare unnötig langsam, aber generell möglich.

@renner96 @julian24 @DKB_de Das Problem an einer Umstellung auf Cloudflare, hören die Anfragen an den ursprünglichen Server nicht auf. Dafür müssen alle IPS bis auf die von Cloudflare auch abgewiesen werden.

@lukasmaeder @flschuetz @asut_ch @EdithGraf @NZZ @swinog @digitec_de Cloudflare und andere #DDOS Mitigation Firmen betreiben DDOS-Waschmaschinen. Das ist ein anderes Konzept. Problem: es skaliert nicht. 100Gbps DDOS ist ok. Bei 2Tbps klappt das Ding zusammen.

@bastischubert @Winkelmannnn @antondollmaier @Cloudflare @CloudflareHelp Hm. Wahr. Vorallem, weil die Fehlermeldungen hier halt nicht aufklären, wer schuld ist. Das passiert nur, wenn der „Kunde“ schuld ist.

@niklascodes @Winkelmannnn @antondollmaier @Cloudflare @CloudflareHelp Es stinkt halt gewaltig wenn ein dezentral organisiert ist nett dann wieder an ein zwei zentralen stellen kaputt gemacht werden kann. (CloudFlare AWS etc) das war eigentlich nicht der Sinn *seufz*

@Winkelmannnn @bastischubert @antondollmaier @Cloudflare @CloudflareHelp Ah. Seit 6 min besteht der Fehler dann wohl auch offiziell

@niklascodes @bastischubert @antondollmaier @Cloudflare CloudFlare's 1.1.1.1 DoH DNS Server hat im Moment ebenfalls Probleme (Süddeutschland) @CloudflareHelp 1.1.1.1 DNS server is also affected

@SWUStadtwerke #SWUTelenet Euer DNS Server macht heute Probleme. Seitenaufbau extrem langsam. Hab jetzt auf Cloudflare gewechselt und ging sofort schneller.

@captainscorch Gerade nochmal untersucht und zu gleichen Ergebnis gekommen, ohne CloudFlare - über $ACCOUNT.uber.space geht es fix. Um ganz sicher zu gehen könntest Du noch eine Subdomain anlegen, ohne CloudFlare auf den Uberspace zeigen lassen und es mit der nochmal testen.

@aahuse Mhh, probier nochmal, habe weder mit Tor noch mit normalen Browser Probleme. Vielleicht hat Cloudflare mist gemacht (kannst du nix für)

@RagnaroekLP @4r9j3nd @vodafoneservice Nope, lag nicht an DNS-Servern - bin seit Jahren bei Cloudflare DNS und hatte dennoch Probleme. Lt. Aussagen der Vodafone Hotline heute lag es an einem Knotenpunkt in Amsterdam.

@dasbjo Habe gestern nur mit dem Handy getestet, keine Lust gehabt den Rechner hochzufahren. Jemand hatte cloudflare DNS vorgeschlagen, hat nicht funktioniert, der erste aus der Liste oben schon. Aber vielleicht war das Problem zu dem Zeitpunkt in der Behebung.

@MattBannert Nutzt bitte einen anderen DNS Server (nicht Google) zum beispiel 1.1.1.1 (Cloudflare) und schon gehen nicht Google Dienste. Ist wohl kein #Vodafone sondern ein #Google problem. Ist natürlich kein Patentrezept, Funktioniert aber bei mir und anderen. #Vodafonedown #googledown

Nutzt bitte einen anderen DNS Server (nicht Google) zum beispiel 1.1.1.1 (Cloudflare) und schon gehen nicht Google Dienste. Ist wohl kein #Vodafone sondern ein #Google problem. Ist natürlich kein Patentrezept, Funktioniert aber bei mir und anderen. #Vodafonedown #googledown