Я написал приложение node.js для обработки форм на веб-сайте компании. Эти формы могут содержать конфиденциальную информацию, поэтому я знал, что для этого нужен сертификат SSL. Поскольку я не хотел обслуживать свое приложение узла с порта 80, я использовал Apache для прокси-сервера с порта 3xxx на порт 80.
Затем я сгенерировал сертификат из Let's Encrypt и смог получить к нему доступ через порт 443.
Мой вопрос: безопасно ли мое приложение nodejs, даже если оно находится за прокси-сервером?
Безопасность - это процесс, а не пункт назначения. Не существует переключателя "сделай мою вещь безопаснее", которую можно было бы щелкнуть.
SSL / TLS - это лишь небольшая часть общей картины. Да, это здорово - защитить соединение между вашими клиентами и вашим сервером, но это бесполезно, если в вашем приложении есть уязвимости. Честно говоря, если есть является проблема безопасности, очень вероятно, что она будет связана с вашим кодом, а не с другими частями системы.
Итак - да, вам следует использовать TLS. Это правильный поступок. Но вам также необходимо пройти через все другие задействованные компоненты, чтобы убедиться, что они также безопасны.