我们正在欧洲运行一项网络服务,使用 TLS 进行保护,并且我们使用在我们的私有硬件上生成的私钥。
我们想使用 CloudFlare 进行 DDoS 保护和缓存反向代理。
但是,戴上锡纸帽,我想知道是否有任何技术方法可以避免被 NSA 或 FISA 喜欢支持的任何其他实体潜在的 MitM 攻击?让我们假设我可以相信 CloudFlare 不会为了额外的钱而泄露任何秘密。如果我理解正确的话,CloudFlare 能够为他们想要的任何域(它们是 CA)生成证书,并且 NSA 或 FISA 应该能够获得 CloudFlare 运行的反向代理的后门,因为 CloudFlare总部位于美国。如果我将我们的 DNS 条目指向 CloudFlare,则可以免费读取和修改我们网站上的任何流量。
FISA 的问题在于它的决定是不公开的。如果 CloudFlare 被任何公共法院命令强迫违背我的意愿工作,我可以切换到另一个 CDN。然而,当 CloudFlare 被 FISA 法庭的秘密命令强迫做某事时,没有人比这更聪明,我也无法切换。
(我想这同样适用于 Akamai 和由总部位于美国的任何公司管理的任何其他反向代理 CDN。)