Digamos que tengo un sitio web y una base de datos, ambos alojados en el espacio de rack.
Dado que toda la comunicación con la base de datos es desde el servidor web y no desde Internet, ¿es seguro asumir que no necesito SSL como lo hago para la comunicación que va de Internet al servidor web?
SSL entre la máquina A y la máquina B protege contra personas malvadas que pueden acceder al medio de transporte entre A y B. En su caso, necesitaría SSL si ambos servidores comparten una switch de red (o, peor aún, un hub ) con algún otro, Máquinas no confiables. Que puede o no ser el caso, dependiendo de su contexto de alojamiento. Si ambas máquinas están conectadas a su propia red Ethernet que está conectada al mundo externo solo a través de su enrutador, entonces podría asumir que las comunicaciones entre El servidor web y la base de datos son "físicamente seguros", por lo que no necesitan SSL.
¿Debo usar SSL en mi servidor de base de datos?
(Nota: utilizaré SSL de manera sinónima para SSL / TLS)
No tengo idea de si deberías o no deberías, pero lo más probable es que sí. ¿Está interesado en asegurar la confidencialidad de sus transacciones? Luego use SSL. ¿Su base de datos está en un sistema separado y tiene una IP pública? Luego use SSL.
Hay algunas situaciones y configuraciones de red donde el uso de SSL no es tan importante como (direcciones IP con enrutamiento estático y similares), pero aún se considera una buena práctica. Dado que está alojado en un proveedor público, es probable que no tenga una de esas situaciones de todos modos.
Lea otras preguntas en las etiquetas tls