Abbiamo vari server nelle nostre DMZ. Alcuni di loro sono dietro bilanciamento del carico (ma solo pochi). Disponiamo inoltre di appliance di visibilità SSL BlueCoat attualmente distribuite in modalità passiva-tap (otteniamo la copia del traffico in entrata e in uscita tramite SPAN): in questa modalità è possibile decifrare solo RSA ma non il traffico DH.
Stiamo cercando un modo per essere in linea per poter decodificare tutto il traffico, indipendentemente dal fatto che sia RSA o DH. Un'opzione che vediamo è mettere in linea gli SSL VA e utilizzare HSM per la gestione dei certificati. Quali altre opzioni ci sono? Potresti consigliare?