CloudFlare 也开始作恶了 (破坏云服务的中立性原则)

2021-07-15 02:06:18 +08:00
 Nyarime

CloudFlare 也开始作恶了(破坏云服务的中立性原则)

今天一个客户找我们买 12 张域名证书,6 张成功 6 张失败,我们是跟 SSL.com 合作的,发现失败的是 SSL.com 那边因为 CAA Failure 拒绝签发。 客户域名是在 CloudFlare 托管的 DNS,客户截图他完全没有添加任何 CAA 解析记录:

而我们 DIG 出来的 CAA 为: 

➜  ~ dig mhribbon.com caa

; <<>> DiG 9.10.6 <<>> mhribbon.com caa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17679
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mhribbon.com.			IN	CAA

;; ANSWER SECTION:
mhribbon.com.		3600	IN	CAA	0 issuewild "comodoca.com"
mhribbon.com.		3600	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"
mhribbon.com.		3600	IN	CAA	0 issuewild "letsencrypt.org"
mhribbon.com.		3600	IN	CAA	0 issuewild "digicert.com"
mhribbon.com.		3600	IN	CAA	0 issue "letsencrypt.org"
mhribbon.com.		3600	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
mhribbon.com.		3600	IN	CAA	0 issue "digicert.com"
mhribbon.com.		3600	IN	CAA	0 issue "comodoca.com"

;; Query time: 704 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Thu Jul 15 02:00:35 CST 2021
;; MSG SIZE  rcvd: 352

作为一个基础 DNS 服务,却在业务里面夹带私货为合作伙伴输送便利性利益(写死不支持竞争对手的产品),实在让人恶心。

根据我们调查,CloudFlare 从今年切换免费证书到 Let‘sEncrypt 后,就开始了 hidden CAA 的策略。而且无视 CA 厂商的申诉,继续夹带私货:

5741 次点击
所在节点    Cloudflare
32 条回复
learningman
2021-07-15 02:09:19 +08:00
你应该理解 CAA 是个啥吧,这玩意儿是保证安全性的啊。
你客户没手动配 CAA,指不定哪里开了个开关自动把 CAA 配上了呗。。。
Nyarime
2021-07-15 02:10:29 +08:00
@learningman 默认开可以呀,但是不要隐藏。
Nyarime
2021-07-15 02:13:27 +08:00
@learningman 请相信:我们作为为数不多的大陆 OCSP 的 ePKI CA,CAA 是什么我们肯定知道。
casparchen
2021-07-15 02:40:42 +08:00
“写死不支持竞争对手的产品”的结论怎么来的?不是可以自己加 CAA 吗
Nyarime
2021-07-15 02:56:26 +08:00
@casparchen 你调研过了解 CAA 的用户有多少吗?
bin456789
2021-07-15 02:57:51 +08:00
用了他们的 CDN,自动帮你加 CAA,好像没毛病
如果关了 CDN,还是有 CAA,那就有问题了
casparchen
2021-07-15 04:02:50 +08:00
@Nyarime 所以是支持还是不支持?
DeutschXP
2021-07-15 04:12:13 +08:00
没看明白怎么做恶了,赞同楼上所说,先把代理去了,把云朵点灰了,等段时间再看看有没有自动加 CAA
ZeroClover
2021-07-15 04:23:35 +08:00
https://support.cloudflare.com/hc/zh-cn/articles/115000310792-%E9%85%8D%E7%BD%AE-CAA-%E8%AE%B0%E5%BD%95-

使用 Universal SSL 时,请勿配置 CAA 记录
当您启用 Universal SSL 并通过 Cloudflare DNS 应用添加 CAA 记录时,Cloudflare 会为我们的每个 Universal SSL CA 提供商自动添加三个额外的 CAA DNS 记录。 如果禁用 Universal SSL 或未通过 DNS 应用添加 CAA 记录,则 Cloudflare 不会添加其他 CAA 记录。

这些 CAA DNS 记录不会显示在 Cloudflare 仪表板 DNS 应用中。但是,如果使用 dig 运行命令行查询,则将显示所有现有 CAA 记录,包括 Cloudflare Universal SSL 添加的记录。

如果您不想要或不需要 Cloudflare Universal SSL,可以在 Cloudflare SSL/TLS 设置中禁用它。禁用 SSL 会自动删除上述我们的官方提供商的 CAA DNS 记录。

Showfom
2021-07-15 05:01:52 +08:00
开启了他们的 CDN 或 DNS 就会自动给你签发证书,所以需要给你域名加个 CAA 记录也可以理解,但是用户也可以自己添加 CAA 记录的嘛
bullfrog
2021-07-15 07:22:41 +08:00
网络中立原则不是被废除了么。。
alexkkaa
2021-07-15 07:55:35 +08:00
搞不懂 ssl 证书为啥卖这么贵,作为一个白嫖党我是力挺 cf 和 lets 的
learningman
2021-07-15 09:17:14 +08:00
@Nyarime 我去你们官网瞄了一眼,申请证书还限制后缀的呗。。。
AoEiuV020
2021-07-15 09:30:33 +08:00
刚知道 caa,试了下托管在 cf 代理的一个域名,没 dig 出 caa,
ruixue
2021-07-15 09:34:48 +08:00
@AoEiuV020 7 楼的文档有说,只有用户手动添加过 CAA 记录,Cloudflare 才会自动添加三个额外的记录避免签发证书失败。如果用户从来没动过 CAA,那么 Cloudflare 也不会吃饱撑的自己添加 CAA 。v2ex.com 也是托管在 Cloudflare 上的,不也没有 CAA 记录~
Jirajine
2021-07-15 11:20:06 +08:00
只要某些网站还是托管在 cloudflare,作为中国用户就可以一直相信 cloudflare 。 感谢伽利略计划。
Nyarime
2021-07-15 13:01:20 +08:00
@casparchen 你和老王卖苹果,你家村长规定老王家掏钱就能买,而买你家必须审批。
这叫公平?
Nyarime
2021-07-15 13:02:24 +08:00
@Showfom 申请第三方 SSL 产生了额外的步骤,这是无法量化的成本
Nyarime
2021-07-15 13:02:50 +08:00
@AoEiuV020 我们客户测试 12 个域名也只有六个有
casparchen
2021-07-15 14:00:37 +08:00
@Nyarime 支持吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/789593

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX