关于 CDN 与源站之间的通讯安全问题,不吝赐教!

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

如果你希望学习 CDN 相关知识，那么建议你可以遍历以下软件的说明文档。

› NGINX

› cURL

这是一个创建于 561 天前的主题，其中的信息可能已经有所发展或是发生改变。

我在 CDN 上强制 HTTPS 用的是 LET'S ENCRYPT 证书回源到 AWS 的 NLB 负载均衡的 443 端口

由 NLB 443 端口通过 TCP 协议回到真正的源机上的 443 端口

源机上的 443 端口是有另外的 SSL 证书进行加密的

也就是说我整个构架如下

CDN-证书 1-AWSNLB-证书 2-源机

那么我想问的问题是在这种构架下 CDN 供应商有没有可能在动态数据通讯的过程种窃取敏感信息

比如 www.xxx.com/login?user=111&password=222

在这种构架下有没有可能 111 和 222 被 CDN 供应商利用或者窃取

静态资源倒是无所谓

第 1 条附言 · 2023-05-17 16:30:49 +08:00

大家不要访问该站。。。我随便乱打的不是有意的

CDN

源机

端口

构架

10 条回复 • 2024-06-14 09:26:54 +08:00

v2wtf

2023-05-17 14:53:48 +08:00

当然有可能。你的 key 在他们机器里呢。

wafm

2023-05-17 15:20:51 +08:00 via iPhone

@v2wtf 证书 2 没泄露呢

billlee

2023-05-17 15:41:48 +08:00 via Android

不需要分析得这么复杂，只要看你浏览器上显示的证书，如果是 CDN 的证书那他们就可以看到。

JustSong

2023-05-17 16:10:34 +08:00 via Android

擦，你贴的网址 nsfw 啊

dzdh

2023-05-17 16:19:57 +08:00

假设域名是 a.com

那么对 a.com 的证书和私钥是必须要部署在 cdn 上的。

也就是说，用户的数据是先发送到 cdn ，经由 cdn 解密后（ http 头等信息，cdn 总要知道客户端支持什么压缩协议吧），再 https 发送到源站。

因此，cdn 必然能够看到客户端发送来的所有机密数据。

目前没有 SNI only 的 cdn

dqzcwxb

2023-05-17 16:24:18 +08:00

@JustSong #4 哈哈哈哈哈哈哈

wafm

2023-05-17 16:30:23 +08:00

@JustSong 卧槽，我随便乱打的

wafm

2023-05-17 17:01:57 +08:00

@billlee
@dzdh

那如此说来岂不是只能选择相信了

busier

168 天前 via iPhone

这类问题都可以统一回答

只要浏览器显示的网站证书不是你自己的服务器上部署的证书，那么就一定存在中间人攻击。

CDN 本质就是一种中间人攻击，只不过你信任它是善意的。

busier

168 天前 via iPhone

@wafm 如果不信任 CDN ，敏感内容你可以去实现前端加密。