Actualmente estamos tratando de decidir cuál es la mejor manera de realizar el tráfico SSL en nuestro entorno. Contamos con un servidor proxy Apache externo que se encarga de dirigir todo el tráfico a nuestro entorno. También realiza el trabajo SSL para la mayoría de nuestros servidores.
Hay uno o dos servidores IIS en particular que realizan su propio SSL, pero también están detrás del proxy.
Me pregunto: ¿SSL para el proxy es lo suficientemente bueno? Significaría que el tráfico dentro de nuestra red es identificable, pero ¿es eso tan importante?
Respuesta1
Eso depende del tráfico. Si el tráfico es lo suficientemente sensible como para garantizar SSL para el proxy, sería precavido y mantendría una conexión SSL de extremo a extremo. Si se trata de información como transacciones de tarjetas de crédito, entonces no tiene otra opción.
Si un host dentro de su red se ve comprometido, existe la posibilidad de que el tráfico pueda ser rastreado y capturado. Nuevamente el nivel de riesgo depende de la información que se transmite. Sopese el riesgo frente a la sobrecarga y la complejidad adicionales que implicaría la implementación de SSL de extremo a extremo.
Respuesta2
Estoy de acuerdo con @sdanelson; PERO si estoy leyendo esto correctamente, también me aseguraría de que las transacciones SSL/TLS pasen a través de un firewall y lo conviertan en el destino del tráfico SSL del cliente. Luego reenvíe, o represente, las solicitudes al sistema interno. Esto ayudaría a disminuir unataque de hombre en el medio.