Назад | Перейти на главную страницу

отключение повторного согласования SSL / TLS на heroku

Как следует из названия, можно ли отключить повторное согласование SSL / TLS при размещении приложения RoR или Heroku?

Я запустил инструмент безопасности Nessus на своем веб-сайте, и единственное серьезное предупреждение - это то, что веб-сайт, возможно, открыт для DoS-атак.

Я попытался исследовать проблему, но не уверен, проблема ли это heroku или тонкий сервер, или проблема связана с приложением rails.

Есть ли решения этой проблемы?

Любой совет будет принят во внимание.

Если вы используете конечные точки SSL для своего приложения на Heroku, шифрование завершается на балансировщике нагрузки SSL Heroku, а не на самом Rails (стойка + thin / puma / etc).

Что бы это ни стоило, я не вижу ничего, опубликованного Heroku о том, что отдельные лица могут отключить повторное согласование сеанса TLS на своих конечных точках, поэтому, если вам нужен этот дополнительный уровень безопасности, вам нужно будет установить собственное завершение SSL. обратный прокси-сервер (например, nginx или что-то в этом роде) и поставьте перед вашей конечной точкой Heroku.