web-dev-qa-db-ja.com

NSAおよびFISAシークレットオーダーを回避したい場合、CloudFlareを使用できますか?

私たちはヨーロッパでWebサービスを実行しており、TLSで保護されており、プライベートハードウェアで生成されたプライベートキーを使用しています。

CloudFlareをDDoS保護とリバースプロキシのキャッシングに使用したいと思います。

しかし、私のアルミ製の帽子をかぶって、私は不思議に思っていますNSAまたはFISAがサポートすることを好む他のエンティティによってMitMされる可能性を回避する方法はありますか? =私が正しく理解していれば、CloudFlareは必要なドメイン(CA)の証明書を生成でき、NSAまたはFISAはCloudFlareが実行するリバースプロキシにバックドアを取得できるはずです。 CloudFlareの本社は米国にあります。DNSエントリをCloudFlareにポイントすると、サイトのトラフィックを読み取って変更するための無料パスになります。

(Akamaiおよび米国にあるその他のリバースプロキシCDNにも同じことが当てはまると思います。)

tlshttp-proxynsacachingtls-intercept
3
Mikko Rantalainen

まず第一に、あなたがCloudFlareを使用するからといって、トラフィックが米国を通過することを意味するわけではありません。 CloudFlare 現在102のエッジがあります 。リクエストは最も近いものに送信されます。これがいわゆる「エニーキャスト」です。したがって、ヨーロッパの誰かがあなたのページをリクエストした場合、リクエストはそれらからヨーロッパのどこかのエッジに行き、そこからあなたのオリジンに行きます。言い換えると、CloudFlareを使用しても、トラフィックの大部分が米国を通過することはありません。

TLSの使用に関して、 CloudFlareは3つ​​の異なるモデルを提供しています

  • Flexible SSL:トラフィックはエンドユーザーとCloudFlareの間でのみ暗号化され、CloudFlareとオリジンの間では暗号化されません。明らかに、これは政府関係者に対して安全ではありません...
  • 完全なSSL:トラフィックはすべて暗号化されますが、CloudFlareにプライベートキーを与えて、トラフィックを復号化できるようにする必要があります。したがって、秘密鍵はNSAから離れた裁判所命令にすぎません。
  • キーレスSSL:秘密鍵を与える方法はありませんが、「トラフィックを復号化、検査、再暗号化」することはできます。それがどのように機能するかについて読んでください ここ 。米国政府が米国外のサーバーからデータを提供するように米国の会社を安心させることができると疑うために、ブリキの帽子をかぶる必要はありません。

したがって、結論として、心配する必要があるのは米国を通過するトラフィックではありませんが、CloudFlareはあなたの復号化されたトラフィックを米国政府と共有します。 CDNがこれを回避する方法はありません。リバースキャッシングプロキシとして機能するには、トラフィックを復号化する必要があります。 CDNを信頼するか、CDNを使用しません。

5
Anders