Ho un proxy inverso (ad esempio nginx, nghttpx, haproxy) che trasmette la connessione a un servizio in esecuzione sullo stesso server fisico. Penso che il modo più comune per configurare questa configurazione è di abilitare TSL solo sul frontend e lasciare la connessione back-end non protetta. In altre parole, il proxy inverso è il punto di terminazione TLS.
Perché non ci sono problemi di sicurezza quando si lascia il back-end non protetto?
Se un client malevolo conosce l'indirizzo / la porta di un servizio di back-end, non può collegarsi direttamente senza un certificato valido e questo non rappresenta un enorme rischio per la sicurezza?