Je hebt een klacht over de onderstaande posting:
Het klopt inderdaad gedeeltelijk: CDN's bieden ihkv. anti-DDos of Cloud-WAF de mogelijkheid om te decrypten. Dat is een bewuste keus van de klant (bank in dit geval). Daarvoor moeten de certificaten/private keys overgedragen worden aan de CDN. Dit kan voor alles op de pagina, maar kan ook voor onderdelen (bv. statisch.bank.nl) die op www.bank.nl gepresenteerd worden. Als de bank geen private keys overhandigd kan zo'n CDN bv. wel volumetrische DOS-en mitigeren (heeeel veel verkeer, al dan niet vanaf heel veel adressen), maar niet applicatieve DOS-en (bv. specifieke requests die resource depletion veroorzaken: immers de cloud-WAF kan niet in de encrypted stream kijken). Als bank moet je in dat geval een eigen WAF on-prem hebben om je betaal omgeving te beschermen. Naast rechtstreeks overhandigen kan je de keys ook via HSM's beschikbaar stellen aan de decryptielaag: de CDN krijgt dan niet rechtstreeks de keys maar die blijven onder controle van de bank. Ofwel, de CDN kan bv. niet zo maar zelf een kopie van ...
Beschrijf je klacht (Optioneel):