V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ljiaming19
V2EX  ›  程序员

用 CDN 中转 https 流量 数据会不会被 CDN 看到

  •  
  •   ljiaming19 · 2020-12-22 14:16:10 +08:00 · 5227 次点击
    这是一个创建于 1433 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用 Cloudfare 作为 CDN 中转 HTTPS 后浏览器看到的不是服务器的证书而是 Cloudfare 自己的证书 那是不是在流量被中转的时候 CDN 已经充当了电脑客户端把之前的 https 流量全部解密了然后再把内容用自己的证书重新加密一遍

    25 条回复    2020-12-23 17:12:26 +08:00
    Ranying
        1
    Ranying  
       2020-12-22 14:19:52 +08:00
    是的
    LnTrx
        2
    LnTrx  
       2020-12-22 14:20:43 +08:00
    如果 CDN 不解密,它根本不知道你访问的是什么路径,那就没法做 CDN 了
    AoEiuV020
        3
    AoEiuV020  
       2020-12-22 14:26:00 +08:00
    这不就是 ssl 的目的么,如果被中间人重新加密了,客户端这边因为没有信任中间人的证书,就会报错,大红色的不安全,非要继续的话确实就被中间人看到了,
    nightwitch
        4
    nightwitch  
       2020-12-22 14:26:51 +08:00
    是的,而且 cf 如果你不选择全程加密的话,由 cdn 到你的主机这一段可以是 http 状态
    Mitt
        5
    Mitt  
       2020-12-22 15:21:43 +08:00 via iPhone   ❤️ 4
    cdn 是作为一个可信任中间人的,如果你觉得 cdn 不可信那就没办法用,cdn 是需要缓存数据的,它跟负载均衡不一样
    dorothyREN
        6
    dorothyREN  
       2020-12-22 15:28:24 +08:00
    @Mitt #5 换句人话 就就是说 你不信任 CDN,你为啥还要用 CDN
    stevenhawking
        7
    stevenhawking  
       2020-12-22 15:34:03 +08:00
    你托管 SSL 证书到 CDN,CDN 就能看得到
    opengps
        8
    opengps  
       2020-12-22 15:37:51 +08:00
    cdn 持有你 ssl 的私钥,从原理上来讲,想看内容完全可以,所以这时候如果你信不过 CDN,那就不能用了
    linuxmap
        9
    linuxmap  
       2020-12-22 19:12:12 +08:00
    哈哈,不给 cdn 证书,你还要给我完成 https 。 难为一下 CDN
    qwerthhusn
        10
    qwerthhusn  
       2020-12-22 19:15:41 +08:00
    典型的中间人,只不过这个是可信的中间人
    lslqtz
        11
    lslqtz  
       2020-12-22 20:59:45 +08:00
    cdn 会,而动态加速可能会
    holulu
        12
    holulu  
       2020-12-22 21:14:15 +08:00
    @opengps 使用 Keyless SSL 可以不把私钥给 CDN,但数据 CDN 依然能看到
    ljiaming19
        13
    ljiaming19  
    OP
       2020-12-22 21:52:22 +08:00
    @opengps 但是我不记得我有把私钥上传到 CDN
    jinliming2
        14
    jinliming2  
       2020-12-22 22:53:01 +08:00
    @ljiaming19 CDN 充当的是客户端的角色,不需要私钥就能解密。转发的时候使用的是 CDN 自己的证书重新加密。
    YouLMAO
        15
    YouLMAO  
       2020-12-22 23:11:26 +08:00 via Android
    我比较关心 akamai 偷录了多少 p#hub 的视频
    jinliming2
        16
    jinliming2  
       2020-12-22 23:11:42 +08:00   ❤️ 1
    CDN 属于内容分发,主要用途是缓存。
    也就是 CDN 先充当浏览器访问你的网站,把页面资源全部下载下来之后,用户再访问 CDN 提供的版本。
    这通常适用于静态资源内容,而对于动态资源,就只能充当反向代理转发的作用了。

    如果你不想让中间 CDN 解密你的数据,或者网站动态资源较多,静态资源很少的话,可以考虑走 BGP 多线,一个 IP 访问,通过 BGP 自动到距离最近的机器。通常适合于非 HTTP 协议的内容。把 HTTPS 当作基于 TCP 的一般协议来处理,就不存在中间人解密再重新加密的情况了。
    YouLMAO
        17
    YouLMAO  
       2020-12-22 23:15:18 +08:00 via Android
    自己机房再多,也比不上迅雷 cdn 在各个居民区,4g 上网卡
    lostberryzz
        18
    lostberryzz  
       2020-12-22 23:30:05 +08:00
    我选择相信 CloudFlare,其实根本不需要 https 解密,CF 默认是 http 回源,这样握手速度会快一点
    flynaj
        19
    flynaj  
       2020-12-23 00:14:58 +08:00 via Android
    cf 有多种模式,其中有双向加密的,不过 cf 都要解开
    felixin
        20
    felixin  
       2020-12-23 01:19:12 +08:00 via Android
    http 回源是不是不安全?
    xiaooloong
        21
    xiaooloong  
       2020-12-23 04:31:50 +08:00
    @ljiaming19 cloudflare 的话是自己去签的证书,貌似很多国外厂商都是自己去签新的证书——毕竟域名解析到它那里了,cdn 拿域名去签一个 dv 证书完全合理。国内很多 cdn 都懒得自己搞,都要求用户把自己的证书上传上去。
    brendanliu
        22
    brendanliu  
       2020-12-23 08:36:27 +08:00
    目前 cdn 大厂提供无证书 ssl https 解决方案,私钥部署在客户的服务端,很多银行证券公司采用的就是这种方案
    favourstreet
        23
    favourstreet  
       2020-12-23 09:51:14 +08:00 via Android
    @felixin 是的,不安全,因为回源可能走互联网(公网),明文就暴露了
    stanchenxxx2015
        24
    stanchenxxx2015  
       2020-12-23 10:42:37 +08:00
    @brendanliu 正解。
    Hardrain
        25
    Hardrain  
       2020-12-23 17:12:26 +08:00 via Android


    除了极少数 4 层转发的(类似 SNI 代理)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   880 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 21:57 · PVG 05:57 · LAX 13:57 · JFK 16:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.