La protezione di Apache con i certificati SSL è sufficiente per proteggere tutte le applicazioni sottostanti? [duplicare]

0

Ho alcune applicazioni che servono contenuti HTTP su localhost. Ho installato apache e proxy inverso configurato in modo che apache instradi tutto il traffico verso le applicazioni sottostanti in base ai pattern URL.

Poi ho eseguito cert-bot e installato un certificato SSL da Let's Encrypt.

Solo Apache sa di SSL e HTTPS.

Questo è sicuro? Sto facendo qualcosa di sbagliato?

È più sicuro se le mie applicazioni gestiscono SSL o posso lasciare che apache si prenda cura di esso?

So che chiunque nel mio server può ignorare SSL, naturalmente. Non considero questo un problema.

    
posta Hristo Kolev 14.02.2018 - 09:08
fonte

2 risposte

1

Se il server utilizza solo il certificato del server e ci si fida della connessione tra apache e il server dell'applicazione (ad esempio se apache si connette all'applicazione sullo stesso computer o se sono connessi fisicamente sullo stesso rack del server), allora lasciare che apache faccia la decrittazione SSL non è meno sicuro che gestirlo da sé, e renderebbe un'applicazione molto più semplice.

Se la tua applicazione ha bisogno di gestire i certificati client, la tua applicazione in genere dovrà essere parzialmente coinvolta nella verifica del certificato, anche quando lasci che apache faccia la vera crittografia.

    
risposta data 14.02.2018 - 15:40
fonte
2

SSL / TLS viene utilizzato solo per proteggere il trasporto dei dati tra client e server. Protegge esclusivamente contro lo sniffing o la modifica di questi dati durante il trasporto. Non protegge da attacchi che non richiedono né sniffing né manipolazione del trasporto, ad esempio attacchi come CSRF, SQL injection, password guessing e molti altri.

    
risposta data 14.02.2018 - 09:56
fonte

Leggi altre domande sui tag