CF 这种云服务商靠什么赚钱?

@devliu1 你应该把 CDN 当成你自己的云服务的一部分，因为你是自己解析到 CDN 上授权签发的证书，证书证明的就是内容来自你信任的 CDN 服务，你讨论中间人你应该是从客户端到 CDN 服务端这一段。就像你买了阿里云的服务器，你不能说阿里云是你的中间人吧？

@mohumohu 懒得跟蠢人辩论了。不要回复我了。

一直是 cloudflare 的付费用户，等你有需求了，自然会理解。

@mohumohu 虚空打靶 勿回

@RTSmile 人家打算当中间人偷看当然是一直在场，不会只在你访问中间的某个时刻进场监督。而是全程偷看，但不轻易篡改内容。

@mohumohu @devliu1 @rubyzhu @RTSmile @1194129822 @longsays

所以诸位，技术上超归吵，还是不要人身攻击的好！

听你们讨论，还是能学习到很多东西的。

关于这个问题，有一个权威，或者准确的说法源吗，仅抱着学习的心态。

@devliu1 CDN 实际上不能视为所谓中间人“攻击”，或者说 CDN 就是中间人，和中间人“攻击”的区别就是你选择相信这个中间人。而且你也明确的知道这个中间人的存在。就像你自己起了一个 nginx 反向代理一个业务一样，nginx 也是这里所谓的中间人。
这个问题实际上已经脱离技术范畴了。如果你不相信其他 CDN 提供商，你也可以选择自己全球到处买机器组 CDN ，但是你怎么保证机房不会偷看你的 SSL 证书呢？这种事情一旦有了猜疑，你怎么做都做不到所谓的 100%安全。
我觉得，既然选择了 CDN ，就把他看作是自己网络服务的一部分就好，不要非得把他从自己的网络服务中踢出去，当作一个 threat 。真的有什么自己觉得很重要的东西，大不了你自己再在 ssl 里面套一层自己的加密就是了（虽然是心理安慰）。

@SherlockKevin 形象, 我也是感觉免费的都超过我需求, 想支持但不好硬给钱

@RTSmile 无意引战，你说的没错，但是你们这都属于稻草人论证，无关回答请不要 tag 我了

> 拿到证书不等于可以中间人

我只是从技术上回应这个场景里，CDN 可以中间人，也天然就是中间人，**信不信任是用户的事情**。

另外我只回应了 #25 的 "CA 不参与密钥交换" 和 #22 ，CA 可以中间人，可以监听流量。

@devliu1 流量不经过，你咋中间人。。

@devliu1 你才是稻草人论证吧，首先证书不是 CF 签发的，他并不是 CA ，是你把域名放在 CF 使用 http challenge 或者 dns challenge 代申请的，CA 是 lets 等等这种；其次他可以监听流量和他是不是 CA 无关，是因为 CDN 回源就是一个代理，不管你服务器用谁的证书哪个 CA ，用户端都是到 CF 再到你的服务端（如果有缓存甚至不经过你的服务端）；最后，CA 确实不参与密钥交换，即使 CF 是 CA ，CDN 的角色就是服务端并不是 CA 的角色，你这个在逻辑上是关联谬误和因果谬误。

@devliu1 看到“CA 可以中间人”就知道你的水平了，也请你不要 tag 我。

@mohumohu 但是如果劫持了 dns ，而且伪造了证书，那客户端是完全不知道的。ssl 证书包含服务器公钥，而伪造证书的公钥正是中间人的公钥，完全可以解码获得对称加密对

@ON9
“但是如果劫持了 dns ，而且伪造了证书，那客户端是完全不知道的。”
客户端方面，主流浏览器都有检查证书透明度日志，谁发布了什么证书什么日期阻止全都是公开日志不可篡改的，检查不通过可能会阻止访问或者警告，伪造证书几乎马上就会露陷。如果你订阅了证书透明度报告（ cf 就有这个功能）就知道每当你的域名有新证书下发就能收到邮件通知。至于 APP 端甚至还可以有 Cert Pinning 验证，不是自己部署的证书即使你 CA 签发了也认不了。
这也就是 https 普及之后，运营商在网页上插广告的做法几乎消失的原因。论 DNS 劫持，GFW 最常见了，但 GFW 也只能暴力阻断，伪造证书不可行也是 GFW 无法解码 https 内容的原因。

cdn 服务商必然是对要分发的内容可读的，否则回源过程无法实现。

你决定用这个服务商了，那肯定考虑过信任问题咯。
cdn 服务商也根本不需要你的证书私钥就能改东西，回源的时候就可以做到。

讲了半天，现在讲到了一个看起来是关键但实际上没有意义的话题，即 CDN 服务商如何自证清白，证明自己不会做中间人。
到目前为止，针对某个特定网站实施 HTTPS 劫持，成本巨大，要解决的关联方众多，一个不小心就会被发现。
老实说，如果对任何互联网关键设施都持怀疑的态度，那建议还是别上网了，我都替你觉得累。

至于 HTTP 广告插入，分为两种常见场景，一是无域名解析场景下的强制解析到运营商 IP 地址，二是右下角弹窗。前者与 DNS 配置有关，后者则有从指定 DNS 到本地城域网污染的演变过程（即后期无论用户是否换 DNS 都能收到弹窗广告，此时已经和 DNS 无关了）。

@mohumohu 我可没说 CA `一定` 可以完成中间人，但是是完成中间人的一个非常有利的条件。
CDN 场景确实不需要 CA ，我在上面说过了。

免费转付费吧，当过度依赖 cf 了，并且需求扩大。自然会考虑付费。和爱优腾的免费给你看几集差不多道理吧

不知道，我只用用过一年半的 pro 。后来发现除了爬虫没人来，就降到免费版了。个人用户愿意掏一个月 20 刀得钱真心不多，我也就浅尝了一下。毕竟我服务器还是 5 刀一个月得呢。

@devliu1
#25 《 ca 可以签发证书，拿到证书就可以中间人了。》 《我可没说 CA `一定` 可以完成中间人》《非常有利的条件》
前后矛盾的也不知道你想表达啥，你跟别人说拿到普通电工证就可以搞高压电了，结果搞不了你跟别人说这是非常有利的条件，嗯，确实。

#38 《用 CDN 满足所有中间人条件（域名解析到 CDN + CDN 签发证书）》《 CDN 场景确实不需要 CA 》
解释过了，证书就不是 CDN 签发的。CDN 中间人跟 CA 也没关系。