Eu tenho uma máquina rodando o Apache e um servidor Node.js. O tráfego está sendo roteado através do Apache usando mod_proxy da seguinte forma:
<VirtualHost *:443>
ServerName example.com
ProxyPass / http://localhost:3000 #Node.js application
...
(cert info)
...
</VirtualHost>
E o servidor Node.js é iniciado com:
http.createServer(app).listen(process.env.PORT || 3000)
// As opposed to https.createServer...
Como a solicitação inicial é feita via HTTPS, o tráfego ainda é seguro, mesmo que esteja sendo passado para um aplicativo presumivelmente não seguro? Eu não posso imaginar o pedido seria exposto entre Apache e Node, seria? Meu melhor palpite é que, se todas as solicitações (mesmo do próprio Node) forem feitas através de https://example.com , elas estarão seguras.
I can't imagine the request would be exposed between Apache and Node, would it?
Bem, sim, é, mas a superfície é pequena e não é pior do que o apache transferi-la para outro daemon (por exemplo, php-fpm) no sistema.
Lembre-se que localhost (127.0.0.1) é a interface de loopback no sistema. Se alguém puder espionar o tráfego nessa interface, ele já estará no seu sistema.
Tags https apache-2.2 mod-proxy node.js