Cloudflare公布2018下半年的透明度报告,这个是Cloudflare从2013年开始,为了取得客户的信任,每半年就会发布一次的报告,说明执法单位或是其他政府实体数据请求的状况,这次报告比较特别,除了增加来自美国之外执法部门请求的章节外,也增列不属于执法机构的政府部门数据请求。而值得注意的是,Cloudflare新加入了3条令状金丝雀(Warrant Canary)声明。
金丝雀(Canary)这个词通常出现在服务或是软件测试上,由于鸟类金丝雀对甲烷或是一氧化碳等有毒气体很敏感,因此过去矿工会带着金丝雀进矿坑,观察金丝雀的反应判断空气是否有毒,因此后来引申被用于软件工程上,软件发布金丝雀版本以确保在正式布署前,发现新版本的问题。
令状金丝雀则是一种文件声明,用来对外声明该企业在一段特定时间,不曾接收任何秘密的官方命令,当令状金丝雀文件声明不再更新或是消失时,则外界可以合理假设该组织的承诺状态变更,用户可以选择做出相对应的措施。
从2013年以来,Cloudflare就不曾再添加过令状金丝雀,原本的令状金丝雀有4条,第一条,Cloudflare从未将他们的或是客户的SSL密钥交给任何人;第二条,Cloudflare也从未在他们的网络上安装任何的执法软件或是设备;第三条,Cloudflare不曾因为政治压力,终止用户或是取消内容;第四条,Cloudflare从未向任何执法机构,提供客户流经他们网络的内容。
由于在2018年,Cloudflare增加了无服务器服务Workers以及DNS解析器1.1.1.1服务,Cloudflare也提到,全球的技术监控也正发生变化,因此他们希望在收到执法请求前做出承诺。添加的三条令状金丝雀为,第一,Cloudflare从未因执法机构或是第三方要求,修改用户内容;第二,Cloudflare从未因执法机构或是第三方要求,修改DNS回应的预期目的地;第三,Cloudflare也从未依照执法机构或是第三方要求,弱化或破坏任何加密方法。
添加的第一条是针对Cloudflare推出的Workers服务,由于Workers让开发者得以对不同类型的用户提供不同版本的网站,Cloudflare为了避免这个功能被滥用,因此订立新的令状金丝雀。而新的令状金丝雀第二条,则是承诺其提供的DNS解析器1.1.1.1服务,将不会为政府进行DNS欺骗(DNS Spoofing)行为。另外,由于之前Cloudflare针对加密的令状金丝雀仅提到SSL密钥,随着SSL被弃用,Cloudflare以新的令状金丝雀承诺加密安全,不会在所有加密和身份验证的密钥上动手脚。
在报告中加入令状金丝雀是双面刃,Cloudflare提到,即便Cloudflare被要求不得公开披露执法单位或是第三方的请求,Cloudflare仍然可以通过删除令状金丝雀,对外界传达模糊的消息,但是外界也会拿令状金丝雀质疑Cloudflare的价值,Cloudflare承诺,当他们被迫要求违反令状金丝雀,一定会采取法律措施,以维护用户权益。