V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
如果你希望学习 CDN 相关知识,那么建议你可以遍历以下软件的说明文档。
NGINX
cURL
wafm
V2EX  ›  CDN

关于 CDN 与源站之间的通讯安全问题,不吝赐教!

  •  
  •   wafm · 2023-05-17 14:40:58 +08:00 · 1376 次点击
    这是一个创建于 562 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我在 CDN 上强制 HTTPS 用的是 LET'S ENCRYPT 证书 回源到 AWS 的 NLB 负载均衡的 443 端口

    由 NLB 443 端口通过 TCP 协议 回到真正的源机上的 443 端口

    源机上的 443 端口是有另外的 SSL 证书进行加密的

    也就是说我整个构架如下

    CDN-证书 1-AWSNLB-证书 2-源机

    那么我想问的问题是在这种构架下 CDN 供应商 有没有可能在动态数据通讯的过程种窃取敏感信息

    比如 www.xxx.com/login?user=111&password=222

    在这种构架下有没有可能 111 和 222 被 CDN 供应商利用或者窃取

    静态资源倒是无所谓

    第 1 条附言  ·  2023-05-17 16:30:49 +08:00
    大家不要访问该站。。。我随便乱打的不是有意的
    10 条回复    2024-06-14 09:26:54 +08:00
    v2wtf
        1
    v2wtf  
       2023-05-17 14:53:48 +08:00
    当然有可能。你的 key 在他们机器里呢。
    wafm
        2
    wafm  
    OP
       2023-05-17 15:20:51 +08:00 via iPhone
    @v2wtf 证书 2 没泄露呢
    billlee
        3
    billlee  
       2023-05-17 15:41:48 +08:00 via Android   ❤️ 1
    不需要分析得这么复杂,只要看你浏览器上显示的证书,如果是 CDN 的证书那他们就可以看到。
    JustSong
        4
    JustSong  
       2023-05-17 16:10:34 +08:00 via Android   ❤️ 1
    擦,你贴的网址 nsfw 啊
    dzdh
        5
    dzdh  
       2023-05-17 16:19:57 +08:00
    假设域名是 a.com

    那么对 a.com 的证书和私钥是必须要部署在 cdn 上的。

    也就是说,用户的数据是先发送到 cdn ,经由 cdn 解密后( http 头等信息,cdn 总要知道客户端支持什么压缩协议吧),再 https 发送到源站。

    因此,cdn 必然能够看到客户端发送来的所有机密数据。



    目前没有 SNI only 的 cdn
    dqzcwxb
        6
    dqzcwxb  
       2023-05-17 16:24:18 +08:00
    @JustSong #4 哈哈哈哈哈哈哈
    wafm
        7
    wafm  
    OP
       2023-05-17 16:30:23 +08:00
    @JustSong 卧槽,我随便乱打的
    wafm
        8
    wafm  
    OP
       2023-05-17 17:01:57 +08:00
    @billlee
    @dzdh

    那如此说来 岂不是只能选择相信了
    busier
        9
    busier  
       168 天前 via iPhone
    这类问题都可以统一回答

    只要浏览器显示的网站证书不是你自己的服务器上部署的证书,那么就一定存在中间人攻击。

    CDN 本质就是一种中间人攻击,只不过你信任它是善意的。
    busier
        10
    busier  
       168 天前 via iPhone
    @wafm 如果不信任 CDN ,敏感内容你可以去实现前端加密。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3670 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:30 · PVG 18:30 · LAX 02:30 · JFK 05:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.