來自負載均衡器的代理 SSL

正在設置負載均衡器的伺服器管理員問我是否想要：

1. 直接在 Web 伺服器上託管 SSL 證書
2. 或者，來自負載均衡器的代理 SSL

我只做了前一個實現。有人可以比較這些嗎？

如果我有一個 Web 應用程序需要對某個頁面使用 HTTPS，它會受到此選擇的影響嗎？

1. 您的 Web 伺服器必須完成所有 SSL/TLS 處理。這意味著 Web 伺服器上的負載更多，但您可以完全控制證書和端到端安全性。
2. 您的 Web 伺服器可以將所有內容作為普通網頁提供，從而減輕 SSL/TLS 處理的負擔。大大降低了 Web 伺服器上的負載，但您不再自己控制證書並破壞端到端安全性。

最後，它歸結為您是否信任負載均衡器的安全性以及負載均衡器和 Web 伺服器之間的網路。如果沒有，請不要打擾。請注意，如果您正在執行信用卡交易或類似的事情，則有一些相當嚴格的規則，即您何時可以將未加密的數據從 SSL/TLS 解除安裝發送到您的伺服器。移動證書並不是真正的安全優勢（有人闖入您的 Web 伺服器將獲取所有數據，無論他們是否可以竊取您的證書）。

您是否真的需要將 SSL/TLS 的成本轉移到外部硬體？

通常，您可以將解除安裝系統設置為僅在真正需要的地方提供 SSL/TLS 安全性。

引用自：https://serverfault.com/questions/121331