Назад | Перейти на главную страницу

Точка завершения SSL для AWS EC2? ELB или NginX или ..?

У меня есть несколько автономных веб-приложений Java, которые в настоящее время работают на разных портах и ​​URL-адресах. Я хотел бы разместить все эти приложения за одним портом (443) и сопоставить различные общедоступные URL-адреса с отдельным внутренним URL-адресом / портом. Я думаю, что клиенты используют Nginx как обратный прокси.

Мне также нужно, чтобы эти приложения были доступны только через SSL, и планировать все в AWS VPC с завершением SSL на AWS ELB до обращения к обратному прокси.

Это похоже на довольно стандартный стек. Есть ли причина не делать этого? По какой причине мне следует прекратить использование SSL на обратном прокси-сервере (Nginx или другом) вместо AWS ELB?

Спасибо

В некоторых настройках необходимо учитывать аспекты безопасности при принятии решения о том, где отключить SSL:

  • Какому узлу вы хотите доверить свой сертификат?
  • Какая связь будет происходить за точкой завершения SSL и, таким образом, останется незащищенной?

Вы также должны учитывать технические аспекты того, что возможно, а что нет:

  • Балансировщик нагрузки, который не прерывает SSL, не может вставлять заголовки X-Forwarded-For. Таким образом, серверная часть не будет знать IP-адрес клиента, если вы не используете балансировку нагрузки на основе DSR.
  • Интерфейс, который не завершает SSL, не может отправлять сообщения на разные серверы в зависимости от имени домена, если клиент не поддерживает SNI.