用 Cloudfare 作为 CDN 中转 HTTPS 后浏览器看到的不是服务器的证书而是 Cloudfare 自己的证书 那是不是在流量被中转的时候 CDN 已经充当了电脑客户端把之前的 https 流量全部解密了然后再把内容用自己的证书重新加密一遍
1
Ranying 2020-12-22 14:19:52 +08:00
是的
|
2
LnTrx 2020-12-22 14:20:43 +08:00
如果 CDN 不解密,它根本不知道你访问的是什么路径,那就没法做 CDN 了
|
3
AoEiuV020 2020-12-22 14:26:00 +08:00
这不就是 ssl 的目的么,如果被中间人重新加密了,客户端这边因为没有信任中间人的证书,就会报错,大红色的不安全,非要继续的话确实就被中间人看到了,
|
4
nightwitch 2020-12-22 14:26:51 +08:00
是的,而且 cf 如果你不选择全程加密的话,由 cdn 到你的主机这一段可以是 http 状态
|
5
Mitt 2020-12-22 15:21:43 +08:00 via iPhone 4
cdn 是作为一个可信任中间人的,如果你觉得 cdn 不可信那就没办法用,cdn 是需要缓存数据的,它跟负载均衡不一样
|
6
dorothyREN 2020-12-22 15:28:24 +08:00
@Mitt #5 换句人话 就就是说 你不信任 CDN,你为啥还要用 CDN
|
7
stevenhawking 2020-12-22 15:34:03 +08:00
你托管 SSL 证书到 CDN,CDN 就能看得到
|
8
opengps 2020-12-22 15:37:51 +08:00
cdn 持有你 ssl 的私钥,从原理上来讲,想看内容完全可以,所以这时候如果你信不过 CDN,那就不能用了
|
9
linuxmap 2020-12-22 19:12:12 +08:00
哈哈,不给 cdn 证书,你还要给我完成 https 。 难为一下 CDN
|
10
qwerthhusn 2020-12-22 19:15:41 +08:00
典型的中间人,只不过这个是可信的中间人
|
11
lslqtz 2020-12-22 20:59:45 +08:00
cdn 会,而动态加速可能会
|
13
ljiaming19 OP @opengps 但是我不记得我有把私钥上传到 CDN
|
14
jinliming2 2020-12-22 22:53:01 +08:00
@ljiaming19 CDN 充当的是客户端的角色,不需要私钥就能解密。转发的时候使用的是 CDN 自己的证书重新加密。
|
15
YouLMAO 2020-12-22 23:11:26 +08:00 via Android
我比较关心 akamai 偷录了多少 p#hub 的视频
|
16
jinliming2 2020-12-22 23:11:42 +08:00 1
CDN 属于内容分发,主要用途是缓存。
也就是 CDN 先充当浏览器访问你的网站,把页面资源全部下载下来之后,用户再访问 CDN 提供的版本。 这通常适用于静态资源内容,而对于动态资源,就只能充当反向代理转发的作用了。 如果你不想让中间 CDN 解密你的数据,或者网站动态资源较多,静态资源很少的话,可以考虑走 BGP 多线,一个 IP 访问,通过 BGP 自动到距离最近的机器。通常适合于非 HTTP 协议的内容。把 HTTPS 当作基于 TCP 的一般协议来处理,就不存在中间人解密再重新加密的情况了。 |
17
YouLMAO 2020-12-22 23:15:18 +08:00 via Android
自己机房再多,也比不上迅雷 cdn 在各个居民区,4g 上网卡
|
18
lostberryzz 2020-12-22 23:30:05 +08:00
我选择相信 CloudFlare,其实根本不需要 https 解密,CF 默认是 http 回源,这样握手速度会快一点
|
19
flynaj 2020-12-23 00:14:58 +08:00 via Android
cf 有多种模式,其中有双向加密的,不过 cf 都要解开
|
20
felixin 2020-12-23 01:19:12 +08:00 via Android
http 回源是不是不安全?
|
21
xiaooloong 2020-12-23 04:31:50 +08:00
@ljiaming19 cloudflare 的话是自己去签的证书,貌似很多国外厂商都是自己去签新的证书——毕竟域名解析到它那里了,cdn 拿域名去签一个 dv 证书完全合理。国内很多 cdn 都懒得自己搞,都要求用户把自己的证书上传上去。
|
22
brendanliu 2020-12-23 08:36:27 +08:00
目前 cdn 大厂提供无证书 ssl https 解决方案,私钥部署在客户的服务端,很多银行证券公司采用的就是这种方案
|
23
favourstreet 2020-12-23 09:51:14 +08:00 via Android
@felixin 是的,不安全,因为回源可能走互联网(公网),明文就暴露了
|
24
stanchenxxx2015 2020-12-23 10:42:37 +08:00
@brendanliu 正解。
|
25
Hardrain 2020-12-23 17:12:26 +08:00 via Android
会
除了极少数 4 层转发的(类似 SNI 代理) |