使用 IIS 进行 HTTPS 是否“安全”？

是的。它是安全的，尽管它的安全性仅限于您的环境和政策允许的程度。

我曾见过大型企业部署中将 IIS 用作前线，在这些企业中，安全性至关重要，并且会定期审核 SSL。它不需要花费太多精力来排除弱密码并执行其他缓解措施，但它确实需要修改默认的开箱即用设置。

然而，即使在这种情况下，后端 IIS 服务器也不会直接暴露，而是通过 DMZ 区域中的 IIS 代理（URL 重写/ARR）传递，该区域由 2 个防火墙和其他安全设备缓冲，然后才到达后端服务器，并且对允许的流量进行严格限制。代理很好。

话虽如此，但还是有一点需要说明，那就是代理服务器与后端服务器采用不同的技术堆栈。环境越不均匀，单一漏洞获得后端完全访问权限的可能性就越小。