用 CDN 中转 https 流量 数据会不会被 CDN 看到

是的

如果 CDN 不解密，它根本不知道你访问的是什么路径，那就没法做 CDN 了

这不就是 ssl 的目的么，如果被中间人重新加密了，客户端这边因为没有信任中间人的证书，就会报错，大红色的不安全，非要继续的话确实就被中间人看到了，

是的，而且 cf 如果你不选择全程加密的话，由 cdn 到你的主机这一段可以是 http 状态

cdn 是作为一个可信任中间人的，如果你觉得 cdn 不可信那就没办法用，cdn 是需要缓存数据的，它跟负载均衡不一样

@Mitt #5 换句人话 就就是说 你不信任 CDN，你为啥还要用 CDN

你托管 SSL 证书到 CDN，CDN 就能看得到

cdn 持有你 ssl 的私钥，从原理上来讲，想看内容完全可以，所以这时候如果你信不过 CDN，那就不能用了

哈哈，不给 cdn 证书，你还要给我完成 https 。 难为一下 CDN

典型的中间人，只不过这个是可信的中间人

cdn 会，而动态加速可能会

@opengps 使用 Keyless SSL 可以不把私钥给 CDN，但数据 CDN 依然能看到

@opengps 但是我不记得我有把私钥上传到 CDN

@ljiaming19 CDN 充当的是客户端的角色，不需要私钥就能解密。转发的时候使用的是 CDN 自己的证书重新加密。

我比较关心 akamai 偷录了多少 p#hub 的视频

CDN 属于内容分发，主要用途是缓存。
也就是 CDN 先充当浏览器访问你的网站，把页面资源全部下载下来之后，用户再访问 CDN 提供的版本。
这通常适用于静态资源内容，而对于动态资源，就只能充当反向代理转发的作用了。

如果你不想让中间 CDN 解密你的数据，或者网站动态资源较多，静态资源很少的话，可以考虑走 BGP 多线，一个 IP 访问，通过 BGP 自动到距离最近的机器。通常适合于非 HTTP 协议的内容。把 HTTPS 当作基于 TCP 的一般协议来处理，就不存在中间人解密再重新加密的情况了。

自己机房再多，也比不上迅雷 cdn 在各个居民区，4g 上网卡

我选择相信 CloudFlare，其实根本不需要 https 解密，CF 默认是 http 回源，这样握手速度会快一点

cf 有多种模式，其中有双向加密的，不过 cf 都要解开

http 回源是不是不安全？

@ljiaming19 cloudflare 的话是自己去签的证书，貌似很多国外厂商都是自己去签新的证书毕竟域名解析到它那里了，cdn 拿域名去签一个 dv 证书完全合理。国内很多 cdn 都懒得自己搞，都要求用户把自己的证书上传上去。

目前 cdn 大厂提供无证书 ssl https 解决方案，私钥部署在客户的服务端，很多银行证券公司采用的就是这种方案

@felixin 是的，不安全，因为回源可能走互联网（公网），明文就暴露了

@brendanliu 正解。

会

除了极少数 4 层转发的(类似 SNI 代理)