Ssl

來自負載均衡器的代理 SSL

  • March 11, 2010

正在設置負載均衡器的伺服器管理員問我是否想要:

  1. 直接在 Web 伺服器上託管 SSL 證書
  2. 或者,來自負載均衡器的代理 SSL

我只做了前一個實現。有人可以比較這些嗎?

如果我有一個 Web 應用程序需要對某個頁面使用 HTTPS,它會受到此選擇的影響嗎?

  1. 您的 Web 伺服器必須完成所有 SSL/TLS 處理。這意味著 Web 伺服器上的負載更多,但您可以完全控制證書和端到端安全性。
  2. 您的 Web 伺服器可以將所有內容作為普通網頁提供,從而減輕 SSL/TLS 處理的負擔。大大降低了 Web 伺服器上的負載,但您不再自己控制證書並破壞端到端安全性。

最後,它歸結為您是否信任負載均衡器的安全性以及負載均衡器和 Web 伺服器之間的網路。如果沒有,請不要打擾。請注意,如果您正在執行信用卡交易或類似的事情,則有一些相當嚴格的規則,即您何時可以將未加密的數據從 SSL/TLS 解除安裝發送到您的伺服器。移動證書並不是真正的安全優勢(有人闖入您的 Web 伺服器將獲取所有數據,無論他們是否可以竊取您的證書)。

您是否真的需要將 SSL/TLS 的成本轉移到外部硬體?

通常,您可以將解除安裝系統設置為僅在真正需要的地方提供 SSL/TLS 安全性。

引用自:https://serverfault.com/questions/121331