Posso usare CloudFlare se voglio evitare ordini segreti NSA e FISA? [chiuso]

3

Stiamo eseguendo un servizio web in Europa, protetto con TLS e stiamo utilizzando le chiavi private generate sul nostro hardware privato.

Vorremmo utilizzare CloudFlare per la protezione DDoS e il proxy inverso nella cache.

Tuttavia, mettendo il mio cappello di carta stagnola, mi chiedo c'è un modo per evitare di essere potenzialmente MitM'd da NSA o da qualsiasi altra entità che FISA ama supportare? Se ho capito bene , CloudFlare è in grado di generare certificati per qualsiasi dominio che vogliono (sono una CA) e NSA o FISA dovrebbero essere in grado di ottenere backdoor per i proxy inversi gestiti da CloudFlare perché la sede centrale di CloudFlare è negli Stati Uniti. Se indico le voci DNS su CloudFlare, questo è un passaggio gratuito per leggere e modificare qualsiasi traffico sul nostro sito.

(Suppongo che lo stesso valga per Akamai e qualsiasi altro CDN di reverse proxy situato negli Stati Uniti.)

    
posta Mikko Rantalainen 17.02.2017 - 14:56
fonte

1 risposta

5

Prima di tutto, solo perché usi CloudFlare non significa che il traffico passerà attraverso gli Stati Uniti. CloudFlare attualmente ha 102 spigoli e le richieste saranno inviate al più vicino. Questo è ciò che viene chiamato "anycast". Quindi se qualcuno in Europa richiede la tua pagina, la richiesta andrà da loro a un confine da qualche parte in Europa, e da lì alla tua origine. In altre parole, l'utilizzo di CloudFlare non forzerà la maggior parte del tuo traffico negli Stati Uniti.

Per quanto riguarda l'utilizzo di TLS, CloudFlare offre tre diversi modelli :

  • SSL flessibile: il traffico viene crittografato solo tra l'utente finale e CloudFlare e non tra CloudFlare e la tua origine. Ovviamente, questo non è sicuro contro gli attori governativi ...
  • SSL completo: il traffico è crittografato fino in fondo, ma devi fornire a CloudFlare la tua chiave privata in modo che possano decrittografare il traffico. Quindi la tua chiave privata è solo un ordine del tribunale lontano dalla NSA.
  • SSL senza chiave: non è come assegnare loro la tua chiave privata, ma continuano a "decifrare, ispezionare e crittografare nuovamente il traffico". Leggi come funziona qui . Non hai bisogno di avere il tuo foglio di latta per sospettare che il governo degli Stati Uniti possa rassicurare un'azienda statunitense nella fornitura di dati da server situati al di fuori degli Stati Uniti.

Quindi, in conclusione, ciò di cui devi preoccuparti non è il traffico che passa attraverso gli Stati Uniti, ma CloudFlare condividerà il tuo traffico decrittato con il governo degli Stati Uniti. Non c'è modo per un CDN di aggirare questo - per fare il loro lavoro come un proxy di cache inversa, hanno bisogno di decrittografare il traffico. O ti fidi del tuo CDN, o non ne usi uno.

    
risposta data 17.02.2017 - 15:51
fonte

Leggi altre domande sui tag