Stelle deine Website nicht hinter Cloudflare, wenn du es nicht unbedingt brauchst

(huijzer.xyz)

3 Punkte von GN⁺ 2025-11-19 | 13 Kommentare | Auf WhatsApp teilen

Durch einen großflächigen Ausfall von Cloudflare waren mehrere Websites nicht erreichbar; das zeigt das Problem eines Single Point of Failure bei zentralisierten Diensten
Viele kleine und mittelgroße Websites nutzen Cloudflare, obwohl in der Praxis oft kein DDoS-Schutz erforderlich ist
Kleine Blogs oder persönliche Websites sind selten Ziel von Angriffen, wodurch nur eine unnötige Abhängigkeit entsteht
Für mehr Zuverlässigkeit wird vorgeschlagen, per Round-Robin-DNS einen anderen Server als Backup bereitzuhalten
Um das Prinzip eines dezentralen Webs zu bewahren, ist es wichtig, sich nicht übermäßig auf Vermittlungsdienste wie Cloudflare zu verlassen

Cloudflare-Ausfall und das Problem des Single Point of Failure

Zum Zeitpunkt des Schreibens (18. November, 12:43 UTC) kam es zu einem Vorfall, bei dem Cloudflare mehrere Websites lahmlegte
- Der Autor erwähnt, beim Surfen auf etwa der Hälfte der besuchten Websites Fehler gesehen zu haben
Der Vorfall zeigt, dass durch die Abhängigkeit von zentralisierten Diensten ein Single Point of Failure entstehen kann
Selbst große Unternehmen können Fehler machen oder Ausfälle erleiden, und die Auswirkungen reichen weit

Übertriebene Angst vor DDoS-Schutz

Viele Nutzer verwenden Cloudflare aus Angst vor DDoS-Angriffen
Die meisten kleineren Websites haben jedoch nur einige Tausend Besucher pro Monat und sind wahrscheinlich kein Angriffsziel
Unter Verweis auf eine Formulierung aus der Sicherheitsbranche wird betont: „Niemand verschwendet für dich einen Zero-Day“
- Das heißt, gegen ein kleines Blog gibt es keinen Grund, hochentwickelte Angriffsmethoden einzusetzen

Widerspruch zwischen dezentralem Web und Cloudflare-Abhängigkeit

Viele betonen die Wichtigkeit eines dezentralen Webs, stellen ihre Websites in der Praxis aber dennoch hinter Cloudflare
Das wird als widersprüchliches Verhalten kritisiert
Fällt Cloudflare aus, sind auch diese Websites gemeinsam nicht mehr erreichbar

Alternative: Redundanz mit Round-Robin-DNS

Um die Serverstabilität zu erhöhen, wird vorgeschlagen, einen zweiten Server an einem anderen Standort einzurichten und
eine Round-Robin-DNS-Konfiguration mit A- und AAAA-Records zu verwenden
So kann der Traffic auf den anderen Server verteilt werden, selbst wenn einer ausfällt

Kernaussage

Wichtiger als übertriebene Schutzmaßnahmen aus Angst ist ein direkterer Betrieb
Eine Website kann zwar zeitweise ausfallen, aber ein kompletter Ausfall durch eine Cloudflare-Störung lässt sich vermeiden
Letztlich ist es die bessere Wahl, den eigenen Dienst direkt im Internet bereitzustellen und selbst zu verwalten

13 Kommentare

haytsir 2025-11-24

Selbst wenn man sich bei anderen DNS-Anbietern umsieht, darunter auch inländische Unternehmen, gibt es niemanden, der neue Technologien so schnell einführt und so vielfältige Funktionen unterstützt wie Cloudflare.
Dabei ist der Preisunterschied auch nicht gerade groß.

j2sus91 2025-11-20

Selbst kleine Websites werden angegriffen, …

minsuchae 2025-11-20

Es wäre gut, wenn es eine Alternative zu Cloudflare gäbe, aber solange es nicht unbedingt eine gibt, finde ich, dass man besser Cloudflare nutzen sollte.
Andere sehen das wohl ähnlich.
Als es bei mir tatsächlich zu einer Störung kam, habe ich mich wegen der Fehlermeldungen zwar gefragt, ob überhaupt noch alles normal funktioniert, aber am Ende habe ich den DNS-Proxy deaktiviert und die DNS-TTL auf 1 Minute gesetzt, sodass der Dienst vorübergehend weiterlaufen konnte ...
Eine Alternative zu brauchen, stimmt schon, aber es gar nicht zu nutzen, halte ich für völlig unsinnig.

shakespeares 2025-11-20

hahaha

colus001 2025-11-20

Es scheint realistischer, eher auf das Auftauchen eines Konkurrenten zu hoffen …

qpolsa95 2025-11-20

Wie wäre es in Fällen, in denen man es eher nutzt, um die echte IP des Servers zu verbergen, als wegen DDoS?

GN⁺ 2025-11-19

Hacker-News-Kommentare

Selbst ein kleiner Blog mit etwa 100 Besuchern im Monat kann DDoS-Angriffe abbekommen
Wenn ein Angreifer es wirklich will, kann er für ein paar Dollar einen DDoS-Dienst kaufen, und der Hoster wird den Server vom Netz nehmen
Aus diesem Grund schreibe ich unter einem anonymen Account. „Meine Seite ist zu klein, das passiert mir nicht“ ist keine Sicherheitsstrategie
- Ich frage mich, was am Ende größer ist: Downtime durch DDoS oder Downtime durch CDN- bzw. Ausfälle externer Dienste
  Ich denke, dass es kein großes Problem ist, wenn eine persönliche Website kurzzeitig nicht erreichbar ist
- Bei einem persönlichen Blog halte ich weniger Komplexität und niedrigere Kosten für wichtiger
  Cloudflare vorsorglich einzuschalten wirkt wie übertriebene verfrühte Optimierung
- Die Kosten, wenn ein Blog ein paar Stunden offline ist, sind fast null
  Deutlich geringer als die paar Dollar, die jemand für einen DDoS ausgeben müsste
- Wenn man nicht hinter einem CDN steht, wird die Server-IP offengelegt, und sofern der Angreifer nicht ungeschickt ist oder die IP nicht wechselt, ist Verteidigung fast unmöglich
- Ich habe früher einmal politische Meinungen geäußert, woraufhin meine Beratungs-Website per DDoS angegriffen wurde
  Deshalb trete ich heute unter einem Pseudonym auf. Menschen sind bösartiger, als man denkt
Wenn man statische Assets in ein CDN legt, entfernt man damit gewissermaßen einen Single Point of Failure (SPOF)
Mir ist lieber, dass beim Ausfall meiner Seite gleichzeitig auch ein Großkonzern mit tausenden Ingenieuren mit ausfällt
- Als es früher einmal einen Cloudflare-Ausfall gab, hieß es vom CEO zwar „kümmert euch darum“, aber es war nichts, wofür ein kleines Team monatelang Ressourcen hätte einsetzen sollen
  Je nach Größe braucht man Cloudflare vielleicht nicht, aber man sollte den Wert im Verhältnis zum Risiko betrachten
- Der technische SPOF wird kleiner, aber Kultur und Richtlinien der Betriebsorganisation können sich auf das Gesamtsystem auswirken
  Cloudflare zu nutzen ist für die meisten vernünftig, aber man schafft damit auch eine Abhängigkeit
- So wie man sagt: „Niemand wird gefeuert, weil er Oracle gewählt hat“, fühlt sich auch die Entscheidung für Cloudflare ähnlich an
  Allerdings wirkt es inzwischen seltsam, Ausfälle wie eine Art Cyber-Wetter einfach hinzunehmen
- Probleme an andere auszulagern ist auf gewisse Weise ebenfalls eine Lösung – so absurd das klingt
- Ich habe Cloudflare zeitweise abgeschaltet, und ausgerechnet dann lief meine Seite weiter, wenn Cloudflare selbst ausgefallen war
  Kleine Websites profitieren kaum vom Cache, daher ist der Leistungsvorteil nicht besonders groß
Ich betreibe eine PHP-Seite mit fast keinem Traffic, aber der Bot-Traffic ist enorm
Ohne CDN hält die Seite selbst mit lokalem Cache nicht durch
Als wir früher einmal über Fastly auf einer großen Nachrichtenseite vorgestellt wurden, konnten wir das dank des CDN problemlos abfangen
- Um von Diensten wie Cloudflare wegzukommen, muss man Scraper und Bots kontrollieren
  In der Praxis ist das aber nahezu unmöglich. Selbst wenn Regulierung kommt, könnte sie am Ende eher schaden
Selbst kleine Websites wie unsere bekommen ohne Cloudflare viel zu viele bösartige Anfragen
Ohne Filterung werden Analysedaten unbrauchbar, und auch die Zusammenarbeit mit Geschäftspartnern leidet darunter
Selbst bei Cloudflare-Ausfällen konnten wir durch Änderung des DNS innerhalb einer Minute wiederherstellen
Es ist zwar nicht billig, aber als Filter vor dem Load Balancer sind wir ziemlich zufrieden
- Wenn allerdings die Ursprungs-IP offengelegt wird, können direkte Angriffe zunehmen
  Selbst wenn man sie per Firewall blockiert, werden weiterhin CPU-Ressourcen verbraucht
Cloudflare ist kostenlos und die Einrichtung ist sehr einfach
Ich sehe keinen Grund, es nicht zu nutzen. Der Autor scheint die Rolle von Cloudflare nicht richtig zu verstehen
- Wenn aber alle Cloudflare nutzen, wird die Zentralisierung des Internets am Ende noch stärker
  Cloudflare wird damit faktisch zum Schiedsrichter über den Zugang zum Internet
- Diese Zentralisierung ist besorgniserregend, aber für die meisten Nutzer ist Bequemlichkeit wichtiger
- Ich persönlich bevorzuge Dezentralisierung, aber Cloudflare zu Lernzwecken auszuprobieren ist eine gute Erfahrung
- Überzogene Beschwerden nach dem Muster „alle drei Jahre mal drei Stunden down“ sind nicht besonders sinnvoll
- In Deutschland kommt es in den Abendstunden vor, dass mehr als die Hälfte der Cloudflare-Seiten nicht erreichbar ist
Mein Server wird häufig von großem Traffic von Facebook, Azure, OpenAI und ähnlichen Diensten belastet
Ich blockiere das mit Cloudflare-Regeln, aber manchmal gibt es auch DDoS aus China oder Russland
Ich frage mich, ob es außer Cloudflare eine Möglichkeit gibt, solche komplexen Regeln zu ersetzen
- Anfang der 2000er wurde meine Seite einmal auf Slashdot erwähnt und war damit „slashdotted“, aber es gab keine Leistungseinbußen
  Vielleicht sind heutige Server einfach zu schwach
- Anfragen von OpenAIs gptbot reißen nicht ab
- Andere CDNs haben eine kleinere Angriffsfläche, werden dafür aber auch weniger häufig zum Ziel
- Es gibt auch die zynische Reaktion, dass der Markt die Frage längst entschieden habe
Man kann Cloudflare nutzen, sollte aber den Domain-Registrar nicht dort haben
Bei uns lag der Registrar ebenfalls bei Cloudflare, und wir waren zeitweise gesperrt, was die Wiederherstellung erschwerte
Es ist besser, DNS, Domain und Infrastruktur-Anbieter zu trennen
- Allerdings setzen heutzutage auch Registrare und DNS-Anbieter Cloudflare häufig zum Schutz ein
- Auch Ausfälle von DNS-Anbietern sind ein Risikofaktor. Selbsthosting bringt wiederum andere Kosten und Probleme mit sich
Regionale Ausfälle bei Cloudflare hatten oft mit BGP-Problemen zu tun
Mehr dazu steht im Cloudflare-Blog und in der HN-Diskussion
Für die meisten Websites ist Cloudflare wahrscheinlich die bessere Wahl, aber angesichts unvorhersehbarer DDoS gibt es keine perfekte Antwort
- Die Behauptung, dass die meisten Websites mit Cloudflare besser fahren, ist nicht ausreichend belegt
  Ich frage mich, nach welchen Kriterien hier von „den meisten“ gesprochen wird
- An einem einzelnen DDoS geht man nicht zugrunde. Man kann Cloudflare auch später noch einschalten, wenn es nötig wird
- Cloudflare bringt Zentralisierung und Eingriffe in die Privatsphäre mit sich
  Man sollte sich an den Datenvorfall von 2017 erinnern
Ich veröffentliche mehrere Projekte auf meinem Heimserver über einen Cloudflare-Tunnel
Da mein ISP keine feste IP anbietet, kann ich so dynamisches DNS vermeiden und muss keine Ports öffnen
Caching, Rate Limiting und Bot-Blockierung werden fast ohne Konfiguration erledigt, was sehr praktisch ist
Inzwischen fühlt sich Cloudflare nicht mehr wie das „echte Internet“ an, sondern wie ein riesiges privates Intranet
- Ich frage mich, welcher Regulierung Cloudflare unterliegt und ob der Schutz der Privatsphäre überhaupt gewährleistet ist
  Wenn man SSL dort terminieren lässt, können sie dann die Pakete sehen, und arbeiten sie mit Regierungsbehörden zusammen? Das bereitet mir Sorgen
  Es ist bedauerlich, dass das dezentrale Modell des Internets durch Cloudflare oder soziale Netzwerke in Richtung Zentralisierung gedrängt wurde
  Diskussionen über Föderation machen Hoffnung, aber derzeit ist es eine schwierige Zeit, Autonomie und Privatsphäre zu bewahren

eoeoe 2026-04-11

Selbst bei einer kleinen Seite mit Besucherzahlen im zweistelligen Bereich habe ich schon DDoS-Angriffe erlebt, seufz.

wedding 2025-11-20

Das ist, als würde man aus Angst vor Maden keine Sojabohnenpaste mehr ansetzen.

youknowone 2025-11-20

Kleine Websites sind in der Regel nicht so stark davon betroffen, wenn Cloudflare einmal ausfällt …

mstorm 2025-11-20

Züge und Busse sind gefährlich, also gehen Sie zu Fuß. So fühlt es sich an.

t7vonn 2025-11-20

Ich werde es einfach benutzen.

yangeok 2025-11-20

Geht mir auch so ^^