Dispongo dell'infrastruttura delle applicazioni come segue: client Web - > load balancer - > Apache (server web) - > Weblogic (application server).
Potrei capire che in caso di richiesta HTTPS, si verificherà un handshake SSL, verrà creato un tunnel e tutti i dati per la sessione verranno crittografati.
Ma non ho potuto ottenere una risposta chiara per la seguente domanda:
- Sono sicuro al 90% che il bilanciamento del carico non parteciperà (o nulla a che fare con) all'handshake SSL perché è solo per il bilanciamento del carico, quindi inoltrerà ad Apache in base al suo bilanciamento. Potresti confermare?
- Tutte le risorse dell'applicazione sono in Weblogic (application server), quindi mi sento che finalmente la crittografia e l'handshake SSL (o tunnel) avverranno da Weblogic, e sarebbe Weblogic che selezionerà una delle suite di crittografia dal browser web, per la crittografia.
- Sono corretto?
- Se sì, quale sarebbe il ruolo di Apache nell'handshake SSL? Apache inoltrerà semplicemente la richiesta a Weblogic e il tunnel end-to-end sarà tra il browser Web e Weblogic?
- Ho letto che il numero massimo di connessioni è controllato da Apache, quindi mi suggerisce che ci sarebbe un handshake SSL e un tunnel tra il browser Web e Apache. E se ciò dovesse succedere, non sarebbe eccessivo perché ci sarebbero 2 handshake SSL e crittografia (browser Web - Apache e Apache - Weblogic)?
- Se Weblogic o Apache eseguiranno la selezione della suite di crittografia?
- Potrei identificare che per la selezione della suite di cifratura Weblogic può essere controllato usando
Dweblogic.security.SSL.Ciphersuites=TLS_RSA_WITH_AES_256_CBC_SHA256"
ma come può essere controllato in Apache?
- Potrei identificare che per la selezione della suite di cifratura Weblogic può essere controllato usando