正在设置负载均衡器的服务器管理员问我是否想要:
- 直接在 Web 服务器上托管 SSL 证书
- 或者,从负载均衡器代理 SSL
我只完成了前一种实现。有人可以比较一下吗?
如果我有一个 Web 应用程序需要某些页面使用 HTTPS,这个选择会对其产生影响吗?
答案1
您的 Web 服务器必须执行所有 SSL/TLS 处理。这意味着 Web 服务器的负载会更大,但您可以完全控制证书和端到端安全性。
您的 Web 服务器可以将所有内容作为普通网页提供,从而减轻 SSL/TLS 处理负担。Web 服务器的负载显著降低,但您不再自行控制证书,从而破坏了端到端安全性。
最终,这取决于您是否信任负载均衡器以及负载均衡器和 Web 服务器之间的网络的安全性。如果不信任,就不要担心。请注意,如果您正在运行信用卡交易或类似交易,那么对于何时可以将未加密的数据从 SSL/TLS 卸载发送到您的服务器,有一些相当严格的规则。移动证书并不是真正的安全优势(入侵您的 Web 服务器的人将获得所有数据,无论他们是否能够窃取您的证书)。
SSL/TLS 的开销是否太大,以致于您真的需要将其卸载到外部硬件上?
通常,您可以设置卸载系统以仅在真正需要时提供 SSL/TLS 安全性。