Lo scenario è che un browser client (ad esempio: un utente che tenta di accedere a un sito Web della banca) deve essere in grado di visualizzare determinate informazioni sensibili che risiedono in un mainframe che si trova nella rete interna tramite un server web / applicativo che risiede nella DMZ (il client non dovrebbe essere in grado di connettersi direttamente al mainframe).
In una semplice impostazione, ci saranno due sessioni TLS, ad esempio una tra il client e il server web & il secondo sarebbe tra il webserver e il mainframe. Il problema con questa impostazione è che le informazioni sensibili vengono decodificate e crittografate nuovamente sul server web. Quindi ci sarà un punto nel tempo in cui le informazioni sensibili sono in chiaro sul server web.
Come posso mitigarlo in modo tale che le informazioni rimangano confidenziali sul server web, ma possono essere decifrate con successo dal lato client? Come posso ottenere questa crittografia end-to-end?