linux – 所有服务器都需要使用HTTPS协议还是只需要面向公众的服务器？

我有一个通过HTTPS运行的前端Web服务器 – 这是面向公众的 – 即端口是开放的.

我还有一个后端API服务器,我的网络服务器发出API请求 – 这是面向公众的,需要身份验证 – 端口是打开的.

这两台服务器通过HTTPS运行.

在API服务器后面,还有很多其他服务器. API服务器反向代理这些服务器.这些其他服务器的端口不对传入流量开放.它们只能通过API服务器进行通信.

我的问题……“许多其他服务器”是否需要通过HTTPS运行,或者由于无法从外部访问,它们是否可以安全地通过HTTP运行？

我认为这是一个常见的问题,但我找不到答案.谢谢.如果这是一个骗局,请指出我正确的答案.

解决方法

即使它当前不是必需的,我仍然是在任何应用程序级防火墙/负载平衡器/前端服务器和后端服务器之间保持HTTPS启用的主要倡导者.这是一个较小的攻击面.随着更敏感的信息开始被传递,我已经与需要转换的地方签约了 – 最好从那里开始.

我通常建议使用内部CA(如果可用)或自签名(如果没有内部CA)后端服务器.为了避免不必要的更改,我们将过期日期设置得很好并且远远落后于未来.

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!