正如标题所示,在托管 RoR 应用程序或 Heroku 时是否可以禁用 SSL / TLS 重新协商?
我在我的网站上运行了 Nessus 安全工具,出现的唯一严重警告是该网站可能受到 DoS 攻击。
我尝试研究该问题,但不确定这是 Heroku 的问题还是瘦服务器的问题,或者问题是否是由于 rails 应用程序引起的。
这个问题有解决办法吗?
任何意见,将不胜感激。
答案1
如果您在 Heroku 上为应用程序使用 SSL 端点,则加密将在 Heroku 的 SSL 负载均衡器上终止,而不是在 Rails 本身(rack + thin/puma/etc)上终止。
不管怎样,我没有看到 Heroku 发布任何内容表明个人可以在其端点上禁用 TLS 会话重新协商,因此如果您想要这种额外的安全级别,您需要建立自己的 SSL 终止反向代理(如 nginx 或类似的东西)并放在您的 Heroku 端点前面。