Não coloque seu site atrás do Cloudflare se isso não for realmente necessário

 (huijzer.xyz)
3 pontos por GN⁺ 2025-11-19 | 13 comentários | Compartilhar no WhatsApp
  • A grande indisponibilidade do Cloudflare fez com que vários sites ficassem inacessíveis, mostrando o problema de ponto único de falha em serviços centralizados
  • Muitos sites pequenos e médios usam o Cloudflare, mas em muitos casos não precisam de proteção contra DDoS
  • Blogs pequenos ou sites pessoais têm baixa probabilidade de se tornarem alvo de ataques, o que acaba criando apenas dependência desnecessária
  • Para quem busca mais confiabilidade, é sugerido usar DNS round-robin para manter outro servidor como backup
  • Para preservar o princípio de descentralização da web, é importante não depender excessivamente de serviços intermediários como o Cloudflare

Indisponibilidade do Cloudflare e o problema do ponto único de falha

  • No momento da escrita (18 de novembro, 12:43 UTC), ocorreu um caso em que o Cloudflare derrubou vários sites
    • O autor menciona que, ao navegar pela web, encontrou erros em cerca de metade dos sites
  • O incidente mostra que depender de um serviço centralizado cria um ponto único de falha (single point of failure)
  • Até grandes empresas podem cometer erros ou sofrer falhas, e o impacto disso pode ser amplo

Medo excessivo de proteção contra DDoS

  • Muitos usuários recorrem ao Cloudflare por medo de ataques DDoS
  • Porém, a maioria dos sites pequenos tem apenas alguns milhares de visitantes por mês, e a chance de virarem alvo é baixa
  • Citando uma expressão do setor de segurança, o texto reforça que “ninguém desperdiça um zero-day com você”
    • Ou seja, não há motivo para usar meios avançados de ataque contra um blog pequeno

A contradição entre a web descentralizada e a dependência do Cloudflare

  • Muitas pessoas defendem a importância de uma web descentralizada, mas na prática colocam seus sites atrás do Cloudflare
  • Isso é apontado como um comportamento contraditório
  • Quando o Cloudflare falha, esses sites também ficam inacessíveis

Alternativa: redundância com DNS round-robin

  • Para aumentar a estabilidade do servidor, sugere-se configurar um segundo servidor em outro local e usar
    registros A e AAAA em uma configuração de DNS round-robin
  • Assim, mesmo que um servidor caia, é possível distribuir o tráfego para o outro

Mensagem principal

  • Mais importante do que medidas excessivas de proteção baseadas no medo é a operação direta do serviço
  • O site pode até ficar temporariamente fora do ar, mas é possível evitar uma interrupção total causada por falha do Cloudflare
  • Em última análise, expor e administrar seu próprio serviço diretamente na internet é a escolha mais desejável

Leituras relacionadas

13 comentários

 
haytsir 2025-11-24

Incluindo provedores nacionais, mesmo olhando outros DNS por aí, não há nenhum que adote novas tecnologias tão rápido e ofereça uma variedade de recursos como a Cloudflare.
Dito isso, também não é como se houvesse diferença de preço.
 
j2sus91 2025-11-20

Mesmo sites pequenos sofrem ataques,..
 
minsuchae 2025-11-20

Seria bom se houvesse uma alternativa ao Cloudflare, mas, enquanto não há uma realmente viável, eu acho melhor usar o Cloudflare.
Outras pessoas também têm uma opinião parecida, mas
quando houve uma falha de verdade, eu cheguei a me perguntar se estava funcionando normalmente por causa dos erros; ainda assim, no fim, desligamos o proxy DNS e ajustamos o TTL do DNS para 1 minuto, mudando temporariamente para que o serviço continuasse no ar...
É verdade que precisamos de alternativas, mas acho um absurdo simplesmente não usar.
 
shakespeares 2025-11-20

kkkk
 
colus001 2025-11-20

Parece mais realista esperar o surgimento de um concorrente..
 
qpolsa95 2025-11-20

E nos casos em que usam mais para esconder o IP real do servidor do que por causa de DDoS?
 
GN⁺ 2025-11-19
Opiniões do Hacker News

  • Mesmo um blog pequeno com cerca de 100 visitantes por mês pode sofrer ataque DDoS
    Se o invasor quiser, pode comprar um serviço de DDoS por alguns dólares, e a hospedagem vai tirar o servidor do ar
    Por isso escrevo com uma conta anônima. “É um site pequeno, então tudo bem” não é uma estratégia de segurança

    • Fico curioso para saber qual seria maior: o tempo de inatividade causado por DDoS ou o causado por falhas em CDN ou serviços externos
      Acho que não tem grande problema se um site pessoal ficar fora do ar por um tempo
    • Para um blog pessoal, considero mais importante reduzir a complexidade e cortar custos
      Ativar o Cloudflare de antemão parece uma otimização prematura exagerada
    • O custo de um blog ficar offline por algumas horas é quase zero
      É muito menor do que alguém gastar alguns dólares com um DDoS
    • Se não estiver atrás de uma CDN, o IP do servidor fica exposto, e a defesa é quase impossível, a menos que o atacante não seja esperto ou não mude o IP
    • Já aconteceu de eu expressar uma opinião política e meu site de consultoria sofrer um ataque DDoS
      Por isso hoje atuo com pseudônimo. As pessoas são mais maldosas do que parece

  • Colocar ativos estáticos em uma CDN significa sair de um ponto único de falha (SPOF)
    Eu até prefiro que, quando meu site cair, uma grande empresa com milhares de engenheiros também caia junto

    • Quando houve uma falha no Cloudflare no passado, o CEO disse para “tomarmos providências”, mas não era algo em que uma equipe pequena fosse gastar meses de recursos
      Dependendo da escala, pode até não precisar de Cloudflare, mas é preciso avaliar o valor em relação ao risco
    • O SPOF técnico diminui, mas a cultura ou as políticas da organização operacional podem afetar o sistema inteiro
      Usar Cloudflare é razoável para a maioria, mas isso também cria dependência
    • Como no ditado “ninguém é demitido por escolher Oracle”, escolher Cloudflare passa uma sensação parecida
      Ainda assim, hoje parece estranho aceitar falhas como se fossem clima cibernético
    • Jogar o problema no colo dos outros é, de certa forma, uma solução — uma realidade quase cômica
    • Deixei o Cloudflare desligado por um tempo e, quando o Cloudflare caiu, meu site continuou normal
      Em site pequeno, o efeito de cache quase não existe, então o ganho de desempenho também não é grande

  • Administro um site PHP com quase nenhum tráfego, mas o tráfego de bots é enorme
    Sem CDN, só com cache local, o site não consegue aguentar
    Quando um grande veículo de imprensa me mencionou via Fastly no passado, também consegui lidar sem problemas graças à CDN

    • Para sair de serviços como o Cloudflare, é indispensável controlar scrapers e bots
      Mas, na prática, isso chega perto do impossível. Mesmo que surjam regulações, elas podem acabar sendo ainda mais prejudiciais

  • Mesmo um site pequeno como o nosso recebe requisições maliciosas demais sem Cloudflare
    Sem filtragem, a análise de dados fica uma bagunça, e isso também atrapalha a colaboração com parceiros de negócio
    Mesmo em falhas do Cloudflare, conseguimos restaurar em menos de 1 minuto só trocando o DNS
    Custa um pouco, mas estamos bem satisfeitos com a filtragem na frente do balanceador de carga

    • Mas, se o IP de origem vazar, os ataques diretos podem aumentar
      Mesmo bloqueando com firewall, os recursos de CPU continuam sendo consumidos

  • O Cloudflare é gratuito e a configuração é muito simples
    Não vejo motivo para não usar. Parece que o autor não entendeu bem o papel do Cloudflare

    • Mas, se todo mundo usar Cloudflare, no fim a centralização da internet só vai piorar
      O Cloudflare acaba virando o árbitro do acesso à internet
    • Essa centralização é preocupante, mas para a maioria dos usuários a conveniência importa mais
    • Pessoalmente prefiro a descentralização, mas usar Cloudflare para aprender é uma boa experiência
    • Reclamações exageradas do tipo “cai 3 horas a cada 3 anos” não fazem sentido
    • Na Alemanha, há casos em que mais da metade dos sites com Cloudflare fica inacessível no horário da noite

  • Meu servidor frequentemente sofre com grandes volumes de tráfego vindos de Facebook, Azure, OpenAI e outros
    Eu bloqueio com regras do Cloudflare, mas às vezes também há DDoS vindo da China e da Rússia
    Fico pensando se existe outra forma de substituir esse tipo de regra complexa sem usar Cloudflare

    • No começo dos anos 2000, meu site apareceu no Slashdot e foi “slashdotted”, mas não houve degradação de desempenho
      Será que os servidores de hoje não estão fracos demais?
    • As requisições do gptbot da OpenAI chegam sem parar
    • Outras CDNs têm uma superfície de ataque menor, mas por isso mesmo são menos visadas
    • Também houve uma reação cínica de que o mercado já decidiu essa questão

  • Você pode usar Cloudflare, mas não deve deixar o registrador de DNS no Cloudflare
    Nós também ficamos temporariamente em estado de bloqueio porque o registrador estava no Cloudflare, e foi difícil recuperar
    É melhor separar provedor de DNS, domínio e infraestrutura

    • Mas hoje em dia até registradores e provedores de DNS às vezes usam Cloudflare como proteção
    • Falhas do provedor de DNS também são um risco. Hospedar por conta própria cria outros custos e problemas

  • As falhas regionais relacionadas ao Cloudflare muitas vezes ocorreram por problemas de BGP
    Há mais detalhes no blog do Cloudflare e nesta discussão no HN
    Para a maioria dos sites, é melhor usar Cloudflare, mas considerando DDoS imprevisíveis, não existe resposta perfeita

    • A afirmação de que “para a maioria dos sites é melhor usar Cloudflare” carece de base
      Fico me perguntando com que critério se define essa “maioria”
    • Um único DDoS não vai te destruir. Dá para ativar o Cloudflare depois, quando precisar
    • O Cloudflare causa centralização e invasão de privacidade
      É preciso lembrar do vazamento de dados de 2017

  • Eu exponho vários projetos do meu servidor doméstico com o tunnel do Cloudflare
    Como meu ISP não oferece IP fixo, consigo evitar DNS dinâmico e também não preciso abrir portas
    Ele cuida de cache, rate limiting e bloqueio de bots quase sem configuração, o que é bem conveniente

  • Agora o Cloudflare já não parece a “internet de verdade”, mas sim uma enorme intranet privada

    • Fico em dúvida sobre que tipo de regulação o Cloudflare recebe e se há proteção de privacidade
      Se ele cuida do SSL, será que consegue ver os pacotes? Também preocupa se coopera com órgãos governamentais
      É triste ver o modelo distribuído da internet se centralizar em Cloudflare e redes sociais
      As discussões sobre federação trazem alguma esperança, mas hoje é um período em que é difícil preservar autonomia e privacidade
 
eoeoe 28 일 전

Até em sites pequenos, com só dezenas de visitantes, já levei ataque de DDoS, aff
 
wedding 2025-11-20

É como dizer que, por medo dos vermes, você deixa de fazer pasta de soja.
 
youknowone 2025-11-20

Sites pequenos normalmente não sofrem um grande impacto na operação do site com um tempo de inatividade do porte de uma queda do Cloudflare...
 
mstorm 2025-11-20

Como trens e ônibus são perigosos, ande a pé. Essa é a sensação.
 
t7vonn 2025-11-20

Eu vou continuar usando.
 
yangeok 2025-11-20

Eu também ^^