我编写了一个 node.js 应用程序来处理企业网站上的表单。这些表单可能包含敏感信息,所以我知道它需要 SSL 证书。由于我不想从端口 80 为我的节点应用程序提供服务,因此我使用 Apache 将其从端口 3xxx 代理到 80。
然后,我从 Let's Encrypt 生成了一个证书,并且能够从端口 443 访问它。
我的问题是:即使我的 nodejs 应用程序位于代理后面,它是否安全?
答案1
安全是一个过程,而不是目的。没有一个可以打开的“让我的东西安全”开关。
SSL/TLS 只是其中的一小部分。是的,保护客户端和服务器之间的连接很棒,但如果您的应用程序中存在漏洞,那就没有任何好处了。坦率地说,如果是安全问题,很可能是出在你的代码上,而不是系统的任何其他部分。
所以 - 是的,您应该使用 TLS。这是正确的做法。但是,您还需要检查所涉及的所有其他组件,以确保它们也是安全的。