V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Nyarime
V2EX  ›  Cloudflare

CloudFlare 也开始作恶了 (破坏云服务的中立性原则)

  •  
  •   Nyarime · 2021-07-15 02:06:18 +08:00 · 6125 次点击
    这是一个创建于 1233 天前的主题,其中的信息可能已经有所发展或是发生改变。

    CloudFlare 也开始作恶了(破坏云服务的中立性原则)

    今天一个客户找我们买 12 张域名证书,6 张成功 6 张失败,我们是跟 SSL.com 合作的,发现失败的是 SSL.com 那边因为 CAA Failure 拒绝签发。 客户域名是在 CloudFlare 托管的 DNS,客户截图他完全没有添加任何 CAA 解析记录: evil-cloudflare-1.png

    而我们 DIG 出来的 CAA 为: evil-cloudflare-2.png

    ➜  ~ dig mhribbon.com caa
    
    ; <<>> DiG 9.10.6 <<>> mhribbon.com caa
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17679
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 0
    
    ;; QUESTION SECTION:
    ;mhribbon.com.			IN	CAA
    
    ;; ANSWER SECTION:
    mhribbon.com.		3600	IN	CAA	0 issuewild "comodoca.com"
    mhribbon.com.		3600	IN	CAA	0 issuewild "digicert.com; cansignhttpexchanges=yes"
    mhribbon.com.		3600	IN	CAA	0 issuewild "letsencrypt.org"
    mhribbon.com.		3600	IN	CAA	0 issuewild "digicert.com"
    mhribbon.com.		3600	IN	CAA	0 issue "letsencrypt.org"
    mhribbon.com.		3600	IN	CAA	0 issue "digicert.com; cansignhttpexchanges=yes"
    mhribbon.com.		3600	IN	CAA	0 issue "digicert.com"
    mhribbon.com.		3600	IN	CAA	0 issue "comodoca.com"
    
    ;; Query time: 704 msec
    ;; SERVER: 114.114.114.114#53(114.114.114.114)
    ;; WHEN: Thu Jul 15 02:00:35 CST 2021
    ;; MSG SIZE  rcvd: 352
    

    作为一个基础 DNS 服务,却在业务里面夹带私货为合作伙伴输送便利性利益(写死不支持竞争对手的产品),实在让人恶心。

    根据我们调查,CloudFlare 从今年切换免费证书到 Let‘sEncrypt 后,就开始了 hidden CAA 的策略。而且无视 CA 厂商的申诉,继续夹带私货: sslcom-ceo-says-cloudflare-rejected-CAA-removing-proposal.png

    32 条回复    2021-08-09 18:05:22 +08:00
    learningman
        1
    learningman  
       2021-07-15 02:09:19 +08:00 via Android
    你应该理解 CAA 是个啥吧,这玩意儿是保证安全性的啊。
    你客户没手动配 CAA,指不定哪里开了个开关自动把 CAA 配上了呗。。。
    Nyarime
        2
    Nyarime  
    OP
       2021-07-15 02:10:29 +08:00
    @learningman 默认开可以呀,但是不要隐藏。
    Nyarime
        3
    Nyarime  
    OP
       2021-07-15 02:13:27 +08:00
    @learningman 请相信:我们作为为数不多的大陆 OCSP 的 ePKI CA,CAA 是什么我们肯定知道。
    casparchen
        4
    casparchen  
       2021-07-15 02:40:42 +08:00 via iPhone   ❤️ 2
    “写死不支持竞争对手的产品”的结论怎么来的?不是可以自己加 CAA 吗
    Nyarime
        5
    Nyarime  
    OP
       2021-07-15 02:56:26 +08:00
    @casparchen 你调研过了解 CAA 的用户有多少吗?
    bin456789
        6
    bin456789  
       2021-07-15 02:57:51 +08:00 via Android
    用了他们的 CDN,自动帮你加 CAA,好像没毛病
    如果关了 CDN,还是有 CAA,那就有问题了
    casparchen
        7
    casparchen  
       2021-07-15 04:02:50 +08:00 via iPhone   ❤️ 1
    @Nyarime 所以是支持还是不支持?
    DeutschXP
        8
    DeutschXP  
       2021-07-15 04:12:13 +08:00 via iPhone
    没看明白怎么做恶了,赞同楼上所说,先把代理去了,把云朵点灰了,等段时间再看看有没有自动加 CAA
    ZeroClover
        9
    ZeroClover  
       2021-07-15 04:23:35 +08:00   ❤️ 5
    https://support.cloudflare.com/hc/zh-cn/articles/115000310792-%E9%85%8D%E7%BD%AE-CAA-%E8%AE%B0%E5%BD%95-

    使用 Universal SSL 时,请勿配置 CAA 记录
    当您启用 Universal SSL 并通过 Cloudflare DNS 应用添加 CAA 记录时,Cloudflare 会为我们的每个 Universal SSL CA 提供商自动添加三个额外的 CAA DNS 记录。 如果禁用 Universal SSL 或未通过 DNS 应用添加 CAA 记录,则 Cloudflare 不会添加其他 CAA 记录。

    这些 CAA DNS 记录不会显示在 Cloudflare 仪表板 DNS 应用中。但是,如果使用 dig 运行命令行查询,则将显示所有现有 CAA 记录,包括 Cloudflare Universal SSL 添加的记录。

    如果您不想要或不需要 Cloudflare Universal SSL,可以在 Cloudflare SSL/TLS 设置中禁用它。禁用 SSL 会自动删除上述我们的官方提供商的 CAA DNS 记录。

    Showfom
        10
    Showfom  
       2021-07-15 05:01:52 +08:00
    开启了他们的 CDN 或 DNS 就会自动给你签发证书,所以需要给你域名加个 CAA 记录也可以理解,但是用户也可以自己添加 CAA 记录的嘛
    bullfrog
        11
    bullfrog  
       2021-07-15 07:22:41 +08:00
    网络中立原则不是被废除了么。。
    alexkkaa
        12
    alexkkaa  
       2021-07-15 07:55:35 +08:00 via Android
    搞不懂 ssl 证书为啥卖这么贵,作为一个白嫖党我是力挺 cf 和 lets 的
    learningman
        13
    learningman  
       2021-07-15 09:17:14 +08:00 via Android
    @Nyarime 我去你们官网瞄了一眼,申请证书还限制后缀的呗。。。
    AoEiuV020
        14
    AoEiuV020  
       2021-07-15 09:30:33 +08:00
    刚知道 caa,试了下托管在 cf 代理的一个域名,没 dig 出 caa,
    ruixue
        15
    ruixue  
       2021-07-15 09:34:48 +08:00
    @AoEiuV020 7 楼的文档有说,只有用户手动添加过 CAA 记录,Cloudflare 才会自动添加三个额外的记录避免签发证书失败。如果用户从来没动过 CAA,那么 Cloudflare 也不会吃饱撑的自己添加 CAA 。v2ex.com 也是托管在 Cloudflare 上的,不也没有 CAA 记录~
    Jirajine
        16
    Jirajine  
       2021-07-15 11:20:06 +08:00 via Android
    只要某些网站还是托管在 cloudflare,作为中国用户就可以一直相信 cloudflare 。 感谢伽利略计划。
    Nyarime
        17
    Nyarime  
    OP
       2021-07-15 13:01:20 +08:00 via Android
    @casparchen 你和老王卖苹果,你家村长规定老王家掏钱就能买,而买你家必须审批。
    这叫公平?
    Nyarime
        18
    Nyarime  
    OP
       2021-07-15 13:02:24 +08:00 via Android
    @Showfom 申请第三方 SSL 产生了额外的步骤,这是无法量化的成本
    Nyarime
        19
    Nyarime  
    OP
       2021-07-15 13:02:50 +08:00 via Android
    @AoEiuV020 我们客户测试 12 个域名也只有六个有
    casparchen
        20
    casparchen  
       2021-07-15 14:00:37 +08:00 via iPhone
    @Nyarime 支持吗?
    Nyarime
        21
    Nyarime  
    OP
       2021-07-15 14:30:59 +08:00 via Android
    @casparchen 你就说公平吗?不回答我也不会回答你
    casparchen
        22
    casparchen  
       2021-07-15 14:35:09 +08:00 via iPhone
    @Nyarime 公平,支持吗?
    Nyarime
        23
    Nyarime  
    OP
       2021-07-15 15:22:51 +08:00 via Android
    @casparchen 你三观可以的,但愿你隔壁真的来个公平的老王
    casparchen
        24
    casparchen  
       2021-07-15 15:35:25 +08:00 via iPhone
    @casparchen 所以是支持吗?
    Showfom
        25
    Showfom  
       2021-07-15 16:26:06 +08:00 via iPhone
    @Nyarime 换成 cname 接入可破
    Nyarime
        26
    Nyarime  
    OP
       2021-07-17 10:40:44 +08:00
    @ruixue 用户没有添加过 CAA 。看截图
    Nyarime
        27
    Nyarime  
    OP
       2021-07-17 10:51:43 +08:00
    @rui
    @Showfom 成本蛮高,大多数用户不知道
    Showfom
        28
    Showfom  
       2021-07-17 11:00:29 +08:00
    @Nyarime #27 都用 Cloudflare 的用户了,大多数都是知道的
    timpaik
        29
    timpaik  
       2021-07-18 20:07:59 +08:00 via Android
    稍微有经验的都知道 CAA 记录吧
    yanqiyu
        30
    yanqiyu  
       2021-08-09 08:57:55 +08:00
    这不是技术问题吗,Cloudflare 需要托管证书,用户自己设置了 CAA 的情况下 Cloudflare 不设置 CAA 怎么签发证书给 edge 节点用
    yanqiyu
        31
    yanqiyu  
       2021-08-09 08:58:33 +08:00
    可能是之前有过 CAA 记录,现在删除掉了,给客服发邮件问问应该就能解决
    aes114514gcm
        32
    aes114514gcm  
       2021-08-09 18:05:22 +08:00
    @Nyarime 这不代表之前没添加过,用户行为量子不可测
    ”当您启用 Universal SSL 并通过 Cloudflare DNS 应用添加 CAA 记录时,Cloudflare 会为我们的每个 Universal SSL CA 提供商自动添加三个额外的 CAA DNS 记录“

    审核日志( Audit Log )里可以查询到操作记录
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1021 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:35 · PVG 05:35 · LAX 13:35 · JFK 16:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.