关于如何设置 NGinx 与 Apache 一起处理 SSL 请求,存在多个问题和操作指南,但在阅读了其中几个之后,我注意到一种模式,它引发了以下问题,我希望在设计阶段就得到一个具体的答案。
上述每篇文章和操作指南都说,从 NGinx 服务器通过内部网络内的端口 80 建立到服务器的默认(非安全)连接是可以的。但如果用户和 NGinx 之间的连接应该是安全的,那么这种从 NGinx 到另一台服务器的非 SSL 方法是否会暴露连接的弱点?例如,我使用 linode VPS,他们有几个数据中心,我可以在那里启动 VPS。因此,如果我的 nginx 服务器在达拉斯(美国中部)充当负载均衡器,然后在加州和纽约有边缘节点 VPS,那么从 NGinx 到这两个 VPS 的连接是否容易受到数据包嗅探,因为它没有加密?
在我看来,理想的设置是从 NGinx 服务器到将处理请求的边缘节点 vps 服务器建立另一个 ssl 连接,从而确保从浏览器到边缘节点的真正安全的连接。
答案1
是的,如果您对安全性感到偏执,并且您的托管服务提供商不能确保其客户(您)的信息安全,并且如果您没有具有受控和/或限制访问的共置机架,则应该加密负载均衡器和后端之间的连接,代价是额外的 CPU 使用率。