¿Puedo usar CloudFlare si quiero evitar las órdenes secretas de NSA y FISA? [cerrado]

Question

¿Puedo usar CloudFlare si quiero evitar las órdenes secretas de NSA y FISA? [cerrado]

#1 de Anders (5 votos)

3

Estamos ejecutando un servicio web en Europa, protegido con TLS y estamos usando claves privadas generadas en nuestro hardware privado.

Nos gustaría usar CloudFlare para la protección contra DDoS y el proxy inverso de almacenamiento en caché.

Sin embargo, poniéndome el sombrero de aluminio, me pregunto ¿hay alguna manera de evitar ser potencialmente MitM'd por la NSA o cualquier otra entidad que FISA quiera apoyar? si lo he entendido correctamente , CloudFlare puede generar certificados para cualquier dominio que ellos quieran (son una CA) y NSA o FISA deberían poder obtener backdoor para proxies inversos administrados por CloudFlare porque la sede de CloudFlare se encuentra en los Estados Unidos. Si dirijo nuestras entradas de DNS a CloudFlare, es un pase gratuito para leer y modificar el tráfico en nuestro sitio.

(Supongo que lo mismo se aplica a Akamai y cualquier otro CDN de proxy inverso ubicado en los EE. UU.)

tls nsa http-proxy caching tls-intercept

pregunta Mikko Rantalainen 17.02.2017 - 14:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls nsa http-proxy caching tls-intercept

¿Por qué una cookie no persiste en diferentes máquinas? ¿Aleatorizar números de llamadas del sistema para evitar rootkits?

score 5 · Accepted Answer

En primer lugar, solo porque use CloudFlare no significa que el tráfico pasará a través de los Estados Unidos. CloudFlare actualmente tiene 102 bordes , y las solicitudes se enviarán a la más cercana. Esto es lo que se llama "anycast". Por lo tanto, si alguien en Europa solicita su página, la solicitud irá de ellos a algún lugar de Europa y de allí a su origen. En otras palabras, el uso de CloudFlare no forzará la mayoría de su tráfico a través de los Estados Unidos.

Con respecto al uso de TLS, CloudFlare ofrece tres modelos diferentes :

SSL flexible: el tráfico solo se cifra entre el usuario final y CloudFlare, y no entre CloudFlare y su origen. Obviamente, esto no es seguro contra los actores del gobierno ...
SSL completo: el tráfico está cifrado en todo momento, pero debe proporcionar a CloudFlare su clave privada para que pueda descifrar el tráfico. Por lo tanto, su clave privada es solo una orden judicial fuera de la NSA.
SSL sin llave: no sabe cómo darles su clave privada, sino que siguen "descifrando, inspeccionando y volviendo a cifrar el tráfico". Lea sobre cómo funciona aquí . No es necesario que tenga su sombrero de papel de aluminio para sospechar que el gobierno de los EE. UU. Podría presionar a una compañía de los EE. UU. Para que proporcione datos de servidores ubicados fuera de los EE. UU.

En conclusión, lo que debe preocuparte no es el tráfico que pasa a través de los EE. UU., sino que CloudFlare compartirá tu tráfico descifrado con el gobierno de EE. UU. No hay forma de que una CDN solucione esto: para hacer su trabajo como un proxy de almacenamiento en caché inverso, necesitan descifrar el tráfico. O confías en tu CDN o no usas uno.