源站提供 HTTP, 再由 CDN 反代后提供 HTTPS 服务. 这种模式安全吗?

2017-05-25 08:59:50 +08:00

chenset

Client: https//domain.com:443 ==> CDN: http://domain.com:1024  ==> 源站

1 浏览器通过 https//domain.com:443 https 地址进行访问
2 CDN 通过 http://domain.com:1024 http 地址进行回源

如果要使用这种模式开发基金理财(安全要求高)网站.
问 1: 想请教下这种 CDN 通过非 https 回源(源站在阿里云)的模式现实中会有被劫持的情况吗? 有其他安全隐患吗?
问 2: 这种模式普遍吗 ?

2786 次点击

所在节点

问与答

27 条回复

ivyliner

2017-05-25 09:03:43 +08:00

会被劫持, 你源站也支持 HTTPS 就好了, 为什么要想着 HTTP 回源?

BOYPT

2017-05-25 09:05:49 +08:00

可能存在 ISP 间劫持的情况。

wclebb

2017-05-25 09:07:23 +08:00

我不懂这些东西，但如果我是骇客（黑客）研究下，我是不是只要俘获到 Http 源头的 IP，然后从中获取信息就可以了呢？

chenset

2017-05-25 09:11:17 +08:00

@ivyliner @BOYPT 我的服务端处理 HTTPS 的速度很慢, 甚至一度成为了瓶颈. HTTP 情况下就正常了, 于是就想着把这部分计算转给 CDN....

chenset

2017-05-25 09:12:46 +08:00

@wclebb 除了 CDN 主动提供, 理论上可以做到不会被俘获到 Http 源头的 IP 的.

morethansean

2017-05-25 09:17:40 +08:00

@chenset 即便你觉得不会被查到源头，但 ISP 之间劫持还是很常见啊……

chinafeng

2017-05-25 09:25:53 +08:00

服务端处理 HTTPS 很慢 ? 这什么奇怪的服务端, 理论上就算是 1 核带个 SSL 没什么问题吧

chenset

2017-05-25 09:26:00 +08:00

@morethansean CDN 到云主机商这种不是普通的民用线路, 运营商也会这么无耻的劫持吗 ? 通常不是发生在民用电脑走宽带到 http 服务器才导致的劫持吗

wclebb

2017-05-25 09:26:15 +08:00

@chenset #5 那么对于我小白了说，你对此信任有多大？

chenset

2017-05-25 09:28:42 +08:00

@chinafeng 我也各种测试啊, 始终搞不掂. http 能达到 600qps https 就只有 200 了.

chenset

2017-05-25 09:29:34 +08:00

@wclebb 既然大家都这么说了, 我也不会采用这种模式了. 现在也纯讨论而已了...

chinafeng

2017-05-25 09:31:03 +08:00

@chenset #11 怎么配置的呢 ? 如果不方便又有兴趣, 可以私底下聊聊

BOYPT

2017-05-25 09:31:17 +08:00

@wclebb #3 获得 Http 源头的 IP 主要是为了发起 DDOS 攻击，获取不了信息。

@chenset #8 此前很常见的是部署在七牛的静态文件经过聚合 CDN 就被加了广告代码；可能这段时间来线路整理会改善些，不过依然是有这个可能。

tony1016

2017-05-25 09:32:19 +08:00

CDN 到你源站是专线？？否则源站还不是会在互联网上

chenset

2017-05-25 09:40:11 +08:00

@tony1016 我以为 isp 只劫持民用宽带, 我高估了运营商的无耻底线.

laxenade

2017-05-25 09:59:27 +08:00

扫一下端口就拿到 http 了。倒是可以在服务端设置一下只允许 xxx.xxx.xxx.xxx 访问(假设 edge 的 ip 是有规律的)。

lyhiving

2017-05-25 10:02:57 +08:00

被破的几率已经很低

chenset

2017-05-25 10:08:51 +08:00

@laxenade 扫一下就能拿到是什么意思? 源站 ip 又没泄露.

wwqgtxx

2017-05-25 10:17:01 +08:00

@laxenade 要不老哥扫扫 V2EX orgin 服务器的 ip 嘛

jasontse

2017-05-25 10:25:21 +08:00

/t/272022

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/363619

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.