ロードバランサーからのプロキシSSL
ロードバランサーを設定しているサーバー管理者から、次のことを行うかどうか尋ねられました。
- WebサーバーでSSL証明書を直接ホストする
- または、ロードバランサーからのプロキシSSL
私は前者の実装のみを行いました。誰かがこれらを比較できますか?
特定のページにHTTPSを必要とするWebアプリケーションがある場合、この選択の影響を受けますか?
WebサーバーはすべてのSSL/TLS処理を実行する必要があります。これは、Webサーバーの負荷が増えることを意味しますが、証明書とエンドツーエンドのセキュリティを完全に制御できます。
Webサーバーは、SSL/TLS処理をオフロードして、すべてを通常のWebページとして提供できます。 Webサーバーの負荷は大幅に軽減されますが、証明書を自分で制御する必要がなくなり、エンドツーエンドのセキュリティが破られます。
最終的には、ロードバランサーのセキュリティと、ロードバランサーとWebサーバー間のネットワークを信頼するかどうかにかかっています。そうでない場合は、気にしないでください。クレジットカードトランザクションなどを実行している場合、SSL/TLSオフロードから暗号化されていないデータをサーバーに送信するタイミングについてはかなり厳格なルールがあることに注意してください。証明書を移動することは、実際にはセキュリティ上の利点ではありません(Webサーバーに侵入した人は、証明書を盗むことができるかどうかに関係なく、すべてのデータを取得します)。
SSL/TLSからのオーバーヘッドがあり、それを外部ハードウェアにオフロードする必要がありますか?
通常、オフロードシステムは、本当に必要な場合にのみSSL/TLSセキュリティを提供するように設定できます。