Stiamo eseguendo un servizio web in Europa, protetto con TLS e stiamo utilizzando le chiavi private generate sul nostro hardware privato.
Vorremmo utilizzare CloudFlare per la protezione DDoS e il proxy inverso nella cache.
Tuttavia, mettendo il mio cappello di carta stagnola, mi chiedo c'è un modo per evitare di essere potenzialmente MitM'd da NSA o da qualsiasi altra entità che FISA ama supportare? Se ho capito bene , CloudFlare è in grado di generare certificati per qualsiasi dominio che vogliono (sono una CA) e NSA o FISA dovrebbero essere in grado di ottenere backdoor per i proxy inversi gestiti da CloudFlare perché la sede centrale di CloudFlare è negli Stati Uniti. Se indico le voci DNS su CloudFlare, questo è un passaggio gratuito per leggere e modificare qualsiasi traffico sul nostro sito.
(Suppongo che lo stesso valga per Akamai e qualsiasi altro CDN di reverse proxy situato negli Stati Uniti.)