No momento, estamos tentando decidir a melhor forma de fazer o tráfego SSL em nosso ambiente. Temos um servidor proxy Apache voltado externamente que é responsável por direcionar todo o tráfego para nosso ambiente. Ele também faz o trabalho de SSL para a maioria dos nossos servidores.
Há um ou dois servidores IIS em particular que fazem seu próprio SSL, mas também estão por trás do proxy.
Estou me perguntando: o SSL para o proxy é bom o suficiente? Isso significaria que o tráfego dentro da nossa rede é identificável, mas isso é tão importante?
Responder1
Isso depende do tráfego. Se o tráfego for sensível o suficiente para garantir SSL para o proxy, eu seria cauteloso e manteria uma conexão SSL de ponta a ponta. Se você estiver lidando com informações como transações de cartão de crédito, não terá escolha.
Se um host da sua rede estiver comprometido, existe a possibilidade de o tráfego ser detectado e capturado. Mais uma vez, o nível de risco depende da informação transmitida. Avalie o risco versus a sobrecarga e a complexidade adicionais que a implantação do SSL de ponta a ponta implicaria.
Responder2
Concordo com @sdanelson; MAS, se estou lendo isso corretamente, também garantiria que as transações SSL/TLS passassem por um firewall e o tornariam o destino do tráfego SSL do cliente. Em seguida, encaminhe ou faça proxy das solicitações para o sistema interno. Isso ajudaria a diminuir umataque man-in-the-middle.