Security

我可以對敏感數據使用 SSL 終止嗎?如果不能,即使使用 SSL 終止又有什麼意義?

  • June 5, 2013

我已經閱讀,即在Rackspace上,不應將 SSL 終止用於敏感資訊(在頁面上搜尋“不應使用 SSL 終止”)。首先,為什麼會這樣。其次,如果您不能相信數據是安全傳輸的,那麼擁有 SSL 到底有什麼價值?

我對第一個問題的猜測是,如果有人X-Forwarded-For知道伺服器的直接 IP,完全繞過負載均衡器並進入埠 80,則可以添加帶有 HTTPS URL 的標頭。我可以通過 iptables 克服這個問題(僅允許來自負載平衡器的埠 80),對嗎?

注意:我的伺服器與負載均衡器位於同一個專用網路中(關於“什麼是安全問題?”那篇 Rackspace 文章中的註釋)。

他們告訴您的是,如果您選擇將 SSL 端點放在負載均衡器中(而不是負載均衡器路由到的伺服器),那麼您應該意識到無論數據有多安全在通往負載均衡器的路上,而不是一旦它離開負載均衡器,它就很清楚了。在私有數據中心中,將 SSL 處理解除安裝到負載平衡器或專用硬體,然後讓內部管道(以前包裹在 SSL 中的管道)繼續連接到正常 Web 伺服器進行服務的情況並不少見。

他們給出的警告是,如果您的雲伺服器與負載均衡器不在同一個數據中心,那麼如果您在負載均衡器中解開 ssl 會話,那麼從它們到 Web 伺服器的流量將是透明的,並通過公共網路路由。

至於您對 X-forwarded-for 的猜測,您誤解了它們的意思。他們說,如果您的 Web 服務想要確保客戶端使用 SSL,但您在負載均衡器上剝離 SSL 包裝器,他們可以讓負載均衡器為您的 Web 伺服器粘貼一個額外的標頭,以便您知道客戶端DID 使用 SSL,即使您的網路伺服器會說沒有使用 SSL。

希望能幫到你

引用自:https://serverfault.com/questions/513493