Eu tenho um servidor web front-end rodando em HTTPS - isso é voltado para o público - ou seja, a porta está aberta.
Eu também tenho um servidor de API de back-end para o qual meu servidor web faz solicitações de API - isso é voltado para o público e requer autenticação - a porta está aberta.
Esses 2 servidores são executados em HTTPS.
Atrás do servidor API, existem muitos outros servidores. Os proxies reversos do servidor API para esses servidores. As portas para esses outros servidores não estão abertas ao tráfego de entrada. Eles só podem ser falados por meio do servidor da API.
Minha pergunta ... Os "muitos outros servidores" precisam ser executados em HTTPS ou, como não podem ser acessados externamente, podem ser executados em HTTP com segurança?
Eu pensei que esta seria uma pergunta comum, mas não consegui encontrar uma resposta para ela. Obrigado. Se isso for um engano, por favor, me aponte para a resposta certa.