Proxy reverso do Apache - Como desabilitar o frontside SSL, mas permitir backside SSL

2

Eu tenho um servidor Ubuntu 14 LTS / Apache 2.4 com mod_proxy / mod_rewrite configurado para uso como um proxy reverso. Um dos servidores na parte de trás é muito antigo para suportar o TLS. Gostaria de desabilitar o SSL como uma opção para os clientes se comunicarem com o proxy na frente, enquanto ainda permite que o proxy se comunique com o servidor antigo usando SSL no verso.

Isso é possível?

    
por Drew 27.06.2016 / 20:51

1 resposta

0

A solução é realmente embaraçosamente simples.

As configurações de cifra / protocolo para como os clientes podem se conectar ao proxy reverso não afetam como o proxy reverso negocia uma conexão com um servidor de backend.

Em outras palavras, eu era capaz de desabilitar o SSL e endurecer a cifra no proxy reverso e o proxy reverso ainda era capaz de usar os protocolos mais fracos para se conectar ao antigo servidor de back-end.

Para os curiosos, estas são as configurações que usei no arquivo /etc/apache2/mods-enabled/ssl.conf no meu servidor Ubuntu 14.04 LTS executando o Apache 2.4.7 para desabilitar o SSL e reforçar a criptografia usada:

SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLHonorCipherOrder On
SSLProtocol all -SSLv3
# NOTE: Do not add -SSLv2 as some sites suggest (It's already not supported)
    
por 30.06.2016 / 14:40