मैं इस पर थोड़ा सा शोध कर रहा हूं, तो क्या हमारे पास कोई सुरक्षा जोखिम है यदि हमारे पास सर्वर के बजाय लोड बैलेंसर पर SSL प्रमाणपत्र स्थापित है? और SSL प्रमाण पत्र स्थापित करने के लिए उद्योग का सर्वोत्तम अभ्यास क्या है? सर्वर पर, लोड बैलेंसर, या एडीसी?क्या कोई सुरक्षा जोखिम है यदि हम सर्वर के बजाय लोड बैलेंसर पर SSL प्रमाणपत्र स्थापित करते हैं?
बहुत बहुत धन्यवाद!
यह शायद सर्वरफॉल्ट पर बेहतर है, लेकिन मैं इसे यहां एक शॉट दूंगा।
एसएसएल प्रमाण पत्र के लिए सुरक्षा जोखिम में कोई वृद्धि नहीं हुई है क्योंकि आप लोड बैलेंसर पर SSL प्रमाणपत्र डालते हैं, मानते हैं कि लोड बैलेंसर सही तरीके से कॉन्फ़िगर किया गया है और निजी कुंजी की सेवा नहीं करेगा। यह जोखिम किसी भी सर्वर पर लोड होता है, लोड बैलेंसर या नहीं, एक नया ओएस समझौता या हमला हो सकता है, हालांकि यह असंभव है, ऐसा होने की अनुमति दें।
हालांकि लोड बैलेंसर के पीछे यातायात को कैसे किया जाता है, इस पर निर्भर करता है कि लोड बैलेंसर केवल सामग्री सर्वर पर HTTP से बात करता है। तो आपको एचटीटीपीएस का उपयोग करने के लिए अग्रेषित कनेक्शन को कॉन्फ़िगर करने की आवश्यकता है, या तो आंतरिक प्रमाणपत्र और अपने स्वयं के सीए का उपयोग करके, या सामग्री सर्वर पर बाहरी चेहरा HTTPS प्रमाण स्थापित करके (और यदि आप लक्ष्य कर रहे हैं तो आपको ऐसा करने की आवश्यकता होगी पीसीआई अनुपालन)।
याद रखें कि लोड जोखिम भी है, एन्क्रिप्शन महंगा है, और लोड बैलेंसर पर प्रमाण डालकर यह उस पर त्रुटि, त्रुटि, भार बढ़ाता है। यदि लोड बैलेंसर पहले से ही फैला हुआ है तो यह अंतिम स्ट्रॉ हो सकता है। यदि आप बहुत सारे लेन-देन देख रहे हैं तो आपको लोड बैलेंसर से पहले एक हार्डवेयर एसएसएल डिवाइस बैठा है जो एसएसएल यातायात का ख्याल रखता है, फिर लोड बैलेंसर पर HTTP से बात करता है, जो सामग्री सर्वर पर HTTP से बात करता है। (फिर से इस HTTPS होने की जरूरत है अगर आप PCI अनुपालन के लिए लक्ष्य कर रहे हैं)
यहाँ निहितार्थ मैं के बारे में सोच सकता है:
प्रमाणपत्र प्रबंधन के लिए, आप सर्वर के बजाय एसएसएल त्वरक पर निजी कुंजी संग्रहीत कर रहे हैं। यह वास्तव में एक फायदा हो सकता है क्योंकि यदि वेब सर्वर से समझौता किया जाता है, तो हमलावर के पास अभी भी निजी कुंजी तक पहुंच नहीं होगी और इसलिए उन्हें चोरी करने में सक्षम नहीं होगा।
लोड संतुलन के कई स्तर हैं। आपके पास सबसे लोकप्रिय कॉन्फ़िगरेशन में लोड बैलेंसर में प्रमाण लगाने के अलावा कोई विकल्प नहीं है।
उदाहरण के लिए, यदि आप लोड बैलेंसर में HTTP ट्रैफ़िक को प्रॉक्सी कर रहे हैं, तो उसे SSL कनेक्शन को समाप्त करना होगा, इसलिए इसमें प्रमाणपत्र होना चाहिए।
आम तौर पर, लोड बैलेंसर सुरक्षित क्षेत्र में रहता है ताकि आपको बैलेंसर और आपके सर्वर के बीच SSL का उपयोग न करना पड़े। यदि ऐसा नहीं है, तो आप फिर से एसएसएल का उपयोग कर सकते हैं लेकिन आप अधिकांश स्विच पर एसएसएल त्वरण सुविधा के उद्देश्य को हराते हैं।
सर्वर गलती प्रश्न की तरह प्रतीत होता है, लेकिन वैसे भी अच्छा जवाब - एक +1 imho का हकदार है – serg10