Atualmente, estou usando o nginx como um proxy reverso sobre https e tudo o que é proxied é ele próprio por https. A terminação SSL acontece no Nginx e, como o tráfego está acima de https, ele é criptografado novamente antes de continuar.
Meu primeiro instinto foi que meus servidores voltados para o público devem usar um certificado assinado e usar a passagem SSL do nginx. Acontece que o nginx não permite que você faça isso. Então eu comecei a olhar para o haproxy, já que ele pode fazer o repasse SSL.
Depois de muita leitura, comecei a pensar se isso realmente importa. Eu posso usar auto-assinado certificada uma vez dentro da minha própria rede.
Existe algum motivo para usar o mesmo certificado em nginx / haproxy e em meus servidores? Existe alguma razão para não usar certificados autoassinados para o tráfego interno?
Não há nenhuma razão técnica pela qual você precise usar o certificado externo em servidores internos, a menos que você tenha uma configuração em que os servidores internos também possam ser acessados diretamente de fora, o que parece improvável na maioria dos ambientes.
O auto-assinado é bom em um ambiente no qual você controla as duas extremidades da conexão SSL, que é o caso no verso do HAProxy e na parte frontal dos servidores de aplicativos internos.
Eu acho que é uma solução melhor para usar certficiate interno. Por motivos de segurança, você não acrescentaria uma oportunidade extra de comprometer seu certificado público.