O proxy reverso ou o próprio servidor devem resolver o https

1

A situação é a seguinte:

Eu tenho dois servidores em execução na minha máquina. Sendo um servidor voltado para fora enquanto é um proxy reverso para o segundo, que apenas escuta localhost e fornece um serviço.

O segundo servidor deve ser executado em https . Eu sei ver duas opções:

  1. Basta implementar https no segundo servidor e fazer com que o proxy reverso ofereça o pacote https a ele.
  2. Implemente a lógica https no proxy reverso e "abstractions https away" para o segundo servidor.

Eu nem sei se essas duas opções são possíveis, muito menos viáveis. Se sim, quais são as vantagens e desvantagens de ambas as soluções?

EDITAR: Nesse cenário, o proxy reverso é nginx e o servidor serviço que fornece é um servidor Node.js.

    
por hgiesel 31.08.2017 / 15:41

2 respostas

2

Eu recomendo o seu cenário dois. É uma boa prática ter um servidor dedicado para lidar com o material ssl / tls.

Quando o design do seu software começar a ficar mais amplo, talvez você precise de balanceamento de carga entre duas instâncias do NodeJS. Nesse caso, é mais fácil ter aderência de sessão e coisas semelhantes quando o proxy reverso pode olhar dentro dos dados transferidos (o que só é possível quando ele faz a criptografia em si)

Se você espera que seu design mude e que o proxy reverso e a instância do NodeJS sejam movidos para servidores separados, você deve planejar a criptografia desde o início, caso contrário, você transferirá dados não criptografados em uma rede.

Como ambos estão localizados na Alemanha: muitas vezes vejo software escrito sem suporte para criptografia, o que causa grandes problemas quando usado em um ambiente onde os agentes de segurança alemães exigem 100% de criptografia, mesmo que você esteja "transferindo" apenas dados da sessão. Então, dependendo de quais são os seus planos, você deve pensar duas vezes mais alto: simplicidade ou segurança.

    
por 31.08.2017 / 16:05
0

Fazer os https no proxy tem outra vantagem: você pode mover partes do site para servidores diferentes posteriormente, mantendo um domínio voltado para o usuário e um certificado.

    
por 09.09.2017 / 14:47