正在设置负载均衡器的服务器管理员问我是否想要:
- 直接在 Web 服务器上托管 SSL 证书
- 或者,来自负载均衡器的代理 SSL
我只做了前一个实现。有人可以比较这些吗?
如果我有一个 Web 应用程序需要对某个页面使用 HTTPS,它会受到此选择的影响吗?
AskOverflow.Dev
正在设置负载均衡器的服务器管理员问我是否想要:
我只做了前一个实现。有人可以比较这些吗?
如果我有一个 Web 应用程序需要对某个页面使用 HTTPS,它会受到此选择的影响吗?
您的 Web 服务器必须完成所有 SSL/TLS 处理。这意味着 Web 服务器上的负载更多,但您可以完全控制证书和端到端安全性。
您的 Web 服务器可以将所有内容都作为普通网页提供服务,从而减轻 SSL/TLS 处理的负担。大大降低了 Web 服务器上的负载,但您不再自己控制证书并破坏端到端安全性。
最后,它归结为您是否信任负载均衡器的安全性以及负载均衡器和 Web 服务器之间的网络。如果没有,请不要打扰。请注意,如果您正在运行信用卡交易或类似的事情,则有一些相当严格的规则关于您何时可以将未加密的数据从 SSL/TLS 卸载发送到您的服务器。移动证书并不是真正的安全优势(有人闯入您的网络服务器将获取所有数据,无论他们是否可以窃取您的证书)。
您是否真的需要将 SSL/TLS 的开销转移到外部硬件?
通常,您可以将卸载系统设置为仅在真正需要的地方提供 SSL/TLS 安全性。