サードパーティがPFSを提供するサーバー上のSSL / TLSトラフィックを検査できるようにする
CDNとPFSで構成されたサーバーの組み合わせについて質問があります。
私のクライアントは、アカマイのCDNサービスを大規模に使用しています。ほとんどのクライアントアプリケーションは、クリアテキストの純粋なHTTP上にあります。支払いページでは、HTTPSが適用され、PFSを提供する鍵交換アルゴリズムのみが許可されます。
私の質問は、アカマイがWAF/DDoS緩和ソリューションのトラフィックを調査する必要がある場合、PFSが存在していても、接続ごとにトラフィックを復号化できるかどうかです。
私はAkamaiのインフラストラクチャに精通していませんが、AkamaiはHTTPS接続のエンドポイントであるため、独自のトラフィックを復号化する必要はありません。代わりに、システムのどこかでSSLターミネーションを行うことができ、それ以降はすべてのトラフィックを明確に分析できます。また、WAF機能とWebサーバーが1つのシステムに統合されていることも珍しくありません。そして、ほとんどのDoS保護はとにかくレイヤー3と4で行われます。つまり、トラフィックが暗号化されているかどうかは関係ありません。したがって、トラフィック検査のためのこのはるかに簡単で安価な方法が存在するため、彼らがトラフィックを復号化しようとすることさえあるのではないかと私は非常に疑っています。