V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ljiaming19
V2EX  ›  程序员

用 CDN 中转 https 流量 数据会不会被 CDN 看到

  •  
  •   ljiaming19 · 76 天前 · 3267 次点击
    这是一个创建于 76 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用 Cloudfare 作为 CDN 中转 HTTPS 后浏览器看到的不是服务器的证书而是 Cloudfare 自己的证书 那是不是在流量被中转的时候 CDN 已经充当了电脑客户端把之前的 https 流量全部解密了然后再把内容用自己的证书重新加密一遍

    25 条回复    2020-12-23 17:12:26 +08:00
    Ranying
        1
    Ranying   76 天前
    是的
    LnTrx
        2
    LnTrx   75 天前
    如果 CDN 不解密,它根本不知道你访问的是什么路径,那就没法做 CDN 了
    AoEiuV020
        3
    AoEiuV020   75 天前
    这不就是 ssl 的目的么,如果被中间人重新加密了,客户端这边因为没有信任中间人的证书,就会报错,大红色的不安全,非要继续的话确实就被中间人看到了,
    nightwitch
        4
    nightwitch   75 天前
    是的,而且 cf 如果你不选择全程加密的话,由 cdn 到你的主机这一段可以是 http 状态
    Mitt
        5
    Mitt   75 天前 via iPhone   ❤️ 4
    cdn 是作为一个可信任中间人的,如果你觉得 cdn 不可信那就没办法用,cdn 是需要缓存数据的,它跟负载均衡不一样
    dorothyREN
        6
    dorothyREN   75 天前
    @Mitt #5 换句人话 就就是说 你不信任 CDN,你为啥还要用 CDN
    stevenhawking
        7
    stevenhawking   75 天前
    你托管 SSL 证书到 CDN,CDN 就能看得到
    opengps
        8
    opengps   75 天前
    cdn 持有你 ssl 的私钥,从原理上来讲,想看内容完全可以,所以这时候如果你信不过 CDN,那就不能用了
    linuxmap
        9
    linuxmap   75 天前
    哈哈,不给 cdn 证书,你还要给我完成 https 。 难为一下 CDN
    qwerthhusn
        10
    qwerthhusn   75 天前
    典型的中间人,只不过这个是可信的中间人
    lslqtz
        11
    lslqtz   75 天前
    cdn 会,而动态加速可能会
    holulu
        12
    holulu   75 天前
    @opengps 使用 Keyless SSL 可以不把私钥给 CDN,但数据 CDN 依然能看到
    ljiaming19
        13
    ljiaming19   75 天前
    @opengps 但是我不记得我有把私钥上传到 CDN
    jinliming2
        14
    jinliming2   75 天前
    @ljiaming19 CDN 充当的是客户端的角色,不需要私钥就能解密。转发的时候使用的是 CDN 自己的证书重新加密。
    YouLMAO
        15
    YouLMAO   75 天前 via Android
    我比较关心 akamai 偷录了多少 p#hub 的视频
    jinliming2
        16
    jinliming2   75 天前   ❤️ 1
    CDN 属于内容分发,主要用途是缓存。
    也就是 CDN 先充当浏览器访问你的网站,把页面资源全部下载下来之后,用户再访问 CDN 提供的版本。
    这通常适用于静态资源内容,而对于动态资源,就只能充当反向代理转发的作用了。

    如果你不想让中间 CDN 解密你的数据,或者网站动态资源较多,静态资源很少的话,可以考虑走 BGP 多线,一个 IP 访问,通过 BGP 自动到距离最近的机器。通常适合于非 HTTP 协议的内容。把 HTTPS 当作基于 TCP 的一般协议来处理,就不存在中间人解密再重新加密的情况了。
    YouLMAO
        17
    YouLMAO   75 天前 via Android
    自己机房再多,也比不上迅雷 cdn 在各个居民区,4g 上网卡
    lostberryzz
        18
    lostberryzz   75 天前
    我选择相信 CloudFlare,其实根本不需要 https 解密,CF 默认是 http 回源,这样握手速度会快一点
    flynaj
        19
    flynaj   75 天前 via Android
    cf 有多种模式,其中有双向加密的,不过 cf 都要解开
    felixin
        20
    felixin   75 天前 via Android
    http 回源是不是不安全?
    xiaooloong
        21
    xiaooloong   75 天前
    @ljiaming19 cloudflare 的话是自己去签的证书,貌似很多国外厂商都是自己去签新的证书——毕竟域名解析到它那里了,cdn 拿域名去签一个 dv 证书完全合理。国内很多 cdn 都懒得自己搞,都要求用户把自己的证书上传上去。
    brendanliu
        22
    brendanliu   75 天前
    目前 cdn 大厂提供无证书 ssl https 解决方案,私钥部署在客户的服务端,很多银行证券公司采用的就是这种方案
    favourstreet
        23
    favourstreet   75 天前 via Android
    @felixin 是的,不安全,因为回源可能走互联网(公网),明文就暴露了
    stanchenxxx2015
        24
    stanchenxxx2015   75 天前
    @brendanliu 正解。
    Hardrain
        25
    Hardrain   74 天前 via Android


    除了极少数 4 层转发的(类似 SNI 代理)
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   5309 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 06:20 · PVG 14:20 · LAX 22:20 · JFK 01:20
    ♥ Do have faith in what you're doing.