Cloudflare公布2018下半年的透明度報告,這個是Cloudflare從2013年開始,為了取得客戶的信任,每半年就會發布一次的報告,說明執法單位或是其他政府實體資料請求的狀況,這次報告比較特別,除了增加來自美國之外執法部門請求的章節外,也增列不屬於執法機構的政府部門資料請求。而值得注意的是,Cloudflare新加入了3條令狀金絲雀(Warrant Canary)宣告

金絲雀(Canary)這個詞通常出現在服務或是軟體測試上,由於鳥類金絲雀對甲烷或是一氧化碳等有毒氣體很敏感,因此過去礦工會帶著金絲雀進礦坑,觀察金絲雀的反應判斷空氣是否有毒,因此後來引申被用於軟體工程上,軟體釋出金絲雀版本以確保在正式部署前,發現新版本的問題。

令狀金絲雀則是一種文件聲明,用來對外宣告該企業在一段特定時間,不曾接收任何秘密的官方命令,當令狀金絲雀文件宣告不再更新或是消失時,則外界可以合理假設該組織的承諾狀態變更,用戶可以選擇做出相對應的措施。

從2013年以來,Cloudflare就不曾再新增過令狀金絲雀,原本的令狀金絲雀有4條,第一條,Cloudflare從未將他們的或是客戶的SSL金鑰交給任何人;第二條,Cloudflare也從未在他們的網路上安裝任何的執法軟體或是裝置;第三條,Cloudflare不曾因為政治壓力,終止用戶或是取消內容;第四條,Cloudflare從未向任何執法機構,提供客戶流經他們網路的內容。

由於在2018年,Cloudflare增加了無伺服器服務Workers以及DNS解析器1.1.1.1服務,Cloudflare也提到,全球的技術監控也正發生變化,因此他們希望在收到執法請求前做出承諾。新增的三條令狀金絲雀為,第一,Cloudflare從未因執法機構或是第三方要求,修改用戶內容;第二,Cloudflare從未因執法機構或是第三方要求,修改DNS回應的預期目的地;第三,Cloudflare也從未依照執法機構或是第三方要求,弱化或破壞任何加密方法。

新增的第一條是針對Cloudflare推出的Workers服務,由於Workers讓開發者得以對不同類型的用戶提供不同版本的網站,Cloudflare為了避免這個功能被濫用,因此訂立新的令狀金絲雀。而新的令狀金絲雀第二條,則是承諾其提供的DNS解析器1.1.1.1服務,將不會為政府進行DNS欺騙(DNS Spoofing)行為。另外,由於之前Cloudflare針對加密的令狀金絲雀僅提到SSL金鑰,隨著SSL被棄用,Cloudflare以新的令狀金絲雀承諾加密安全,不會在所有加密和身份驗證的金鑰上動手腳。

在報告中加入令狀金絲雀是雙面刃,Cloudflare提到,即便Cloudflare被要求不得公開披露執法單位或是第三方的請求,Cloudflare仍然可以透過刪除令狀金絲雀,對外界傳達模糊的訊息,但是外界也會拿令狀金絲雀質疑Cloudflare的價值,Cloudflare承諾,當他們被迫要求違反令狀金絲雀,一定會採取法律措施,以維護用戶權益


Advertisement

更多 iThome相關內容