Я пытаюсь настроить HTTPS в IIS (Windows Server 2008 R2 и Windows Server 2012) как можно безопаснее. Чтобы смягчить такие атаки, как ЗВЕРЬ и слабость RC4, пытаясь по возможности использовать ECDHE, я обнаружил: http://forums.iis.net/post/2056602.aspx
Итак, мне просто интересно, безопасно ли использовать IIS напрямую для HTTPS в корпоративных системах? Или лучше использовать в качестве SSL-прокси что-нибудь другое?
да. это может быть безопасно, но только настолько, насколько позволяют ваша среда и политики.
Я видел, как IIS использовался в качестве передовой в развертываниях на крупных предприятиях, где безопасность была / имеет решающее значение и проводились / проводятся регулярные проверки SSL. Не потребовалось слишком много усилий, чтобы отключить слабые шифры и выполнить другие меры по устранению рисков, но для этого действительно необходимо изменить стандартные настройки по умолчанию.
Однако даже в этом сценарии внутренние серверы IIS не были открыты напрямую, а были переданы через прокси-серверы IIS (перезапись URL / ARR) в зоне DMZ, буферизированной 2 брандмауэрами и другими устройствами безопасности, прежде чем достигнуть внутренних серверов с серьезными ограничениями на разрешенный трафик . прокси хорошие.
Тем не менее, есть что сказать о том, что ваш прокси-сервер находится в другом технологическом стеке, чем ваш внутренний сервер. чем менее однородна ваша среда, тем меньше вероятность того, что один-единственный эксплойт предоставит полный доступ к вашей серверной части.