SSL per micro-servizi esterni per il servizio nascosto di Tor

Se il servizio principale si connette al servizio micro tramite il servizio nascosto di Tor, non è necessario eseguire alcuna ulteriore crittografia, il servizio nascosto di Tor già crittografa e autentica la connessione.

Se il tuo servizio principale si connette ai microservizi usando internet regolare, allora dovresti davvero criptare questa connessione. Non c'è davvero alcun motivo per non farlo, poiché è possibile utilizzare un certificato autofirmato per questo scopo che è possibile creare gratuitamente e, se configurato correttamente, senza ridurre l'esperienza o la sicurezza dell'utente.

Se non crittografate le connessioni a questi microservizi di supporto, un avversario ben posizionato sarebbe in grado di vedere cosa sta facendo il vostro servizio, cosa stanno facendo gli utenti e potenzialmente deanonymize.

Lasciami rispondere alla tua domanda con una domanda:

Che senso ha avere un servizio nascosto di Tor, se lasci che gli ISP e le agenzie statali vedano ciò che il tuo servizio sta facendo comunque ? Potresti anche non preoccuparti di Tor.

Dovresti dare per scontato che qualsiasi cosa tu invii che non sia su SSL può essere visualizzata e può essere manomessa.

Supponi di scrivere un negozio online per oggetti illegali (come è famoso per Tor). Se hai inviato un messaggio non criptato che diceva "a John Doe piacerebbe una spedizione di farmaci a 123 Fake St" ogni volta che qualcuno compra qualcosa, non avresti clienti a lungo, perché sarebbero tutti in prigione.