В настоящее время мы пытаемся решить, как лучше всего организовать SSL-трафик в нашей среде. У нас есть внешний прокси-сервер Apache, который отвечает за направление всего трафика в нашу среду. Он также выполняет работу SSL для большинства наших серверов.
В частности, есть один или два сервера IIS, которые используют собственный SSL, но они также находятся за прокси-сервером.
Мне интересно, достаточно ли хорош SSL для прокси? Это означало бы, что трафик внутри нашей сети идентифицируется, но разве это такая уж проблема?
решение1
Это зависит от трафика. Если трафик достаточно чувствителен, чтобы оправдать SSL для прокси, я бы перестраховался и поддерживал SSL-соединение от начала до конца. Если вы имеете дело с такой информацией, как транзакции по кредитным картам, то у вас нет выбора.
Если хост в вашей сети скомпрометирован, то существует вероятность, что трафик может быть перехвачен и захвачен. Опять же, уровень риска зависит от передаваемой информации. Взвесьте риск по сравнению с дополнительными издержками и сложностью, которые повлечет за собой развертывание сквозного SSL.
решение2
Я согласен с @sdanelson; НО если я правильно понял, я бы также обеспечил, чтобы транзакции SSL/TLS проходили через брандмауэр и сделал бы его местом назначения для трафика SSL от клиента. Затем перенаправил бы или прокси-запросы во внутреннюю систему. Это помогло бы уменьшитьатака «человек посередине».