Quindi di recente ho impostato un'API su un'istanza AWS EC2. Per poter pubblicare le risposte su HTTPS, ho utilizzato Route 53 per reindirizzare il mio dominio personalizzato a una distribuzione CloudFront che punta all'istanza EC2. La mia distribuzione CloudFront è servita su HTTPS con un certificato personalizzato. Non sto affatto limitando il traffico all'API.
Quindi la mia domanda è, questa è effettivamente una configurazione sicura o dà l'illusione della sicurezza (presumerei la prima dato che Amazon sa quello che stanno facendo, ma mi chiedo solo come)? Da quanto ho capito, offrire contenuti sicuri su HTTP è sbagliato perché gli hacker potrebbero potenzialmente intercettare le richieste e decodificarle. HTTPS lo impedisce crittografando le richieste in modo che solo il mittente e il destinatario previsto possano comprenderle.
Quindi, se faccio una richiesta su HTTPS dal mio frontend, ecco il percorso della richiesta (nella mia testa): dal frontend, alla distribuzione CF, quindi all'istanza EC2. Ora so che l'invio dal frontend alla distribuzione di CloudFront è sicuro perché entrambi sono protetti con SSL. Tuttavia, per quanto ne so, la connessione tra la distribuzione CF e la mia istanza EC2 non è sicura, poiché EC2 serve i contenuti su HTTP.
Un attaccante (in teoria) non sarebbe in grado di eseguire un attacco man-in-the-middle tra la distribuzione CF e EC2? Ma quando mi collego alla mia API direttamente dal mio browser, non ricevo alcun avviso di sicurezza e viene visualizzato come SSL crittografato.