关于 CDN 与源站之间的通讯安全问题,不吝赐教!

2023-05-17 14:40:58 +08:00

wafm

我在 CDN 上强制 HTTPS 用的是 LET'S ENCRYPT 证书回源到 AWS 的 NLB 负载均衡的 443 端口

由 NLB 443 端口通过 TCP 协议回到真正的源机上的 443 端口

源机上的 443 端口是有另外的 SSL 证书进行加密的

也就是说我整个构架如下

CDN-证书 1-AWSNLB-证书 2-源机

那么我想问的问题是在这种构架下 CDN 供应商有没有可能在动态数据通讯的过程种窃取敏感信息

比如 www.xxx.com/login?user=111&password=222

在这种构架下有没有可能 111 和 222 被 CDN 供应商利用或者窃取

静态资源倒是无所谓

1403 次点击

所在节点

CDN

10 条回复

v2wtf

2023-05-17 14:53:48 +08:00

当然有可能。你的 key 在他们机器里呢。

wafm

2023-05-17 15:20:51 +08:00

@v2wtf 证书 2 没泄露呢

billlee

2023-05-17 15:41:48 +08:00

不需要分析得这么复杂，只要看你浏览器上显示的证书，如果是 CDN 的证书那他们就可以看到。

JustSong

2023-05-17 16:10:34 +08:00

擦，你贴的网址 nsfw 啊

dzdh

2023-05-17 16:19:57 +08:00

假设域名是 a.com

那么对 a.com 的证书和私钥是必须要部署在 cdn 上的。

也就是说，用户的数据是先发送到 cdn ，经由 cdn 解密后（ http 头等信息，cdn 总要知道客户端支持什么压缩协议吧），再 https 发送到源站。

因此，cdn 必然能够看到客户端发送来的所有机密数据。

目前没有 SNI only 的 cdn

dqzcwxb

2023-05-17 16:24:18 +08:00

@JustSong #4 哈哈哈哈哈哈哈

wafm

2023-05-17 16:30:23 +08:00

@JustSong 卧槽，我随便乱打的

wafm

2023-05-17 17:01:57 +08:00

@billlee
@dzdh

那如此说来岂不是只能选择相信了

busier

202 天前

这类问题都可以统一回答

只要浏览器显示的网站证书不是你自己的服务器上部署的证书，那么就一定存在中间人攻击。

CDN 本质就是一种中间人攻击，只不过你信任它是善意的。

busier

202 天前

@wafm 如果不信任 CDN ，敏感内容你可以去实现前端加密。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/940705

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.