Tenemos un sitio web alojado detrás de WAF y usaremos HTTPS. El servidor ya tiene un SSL válido. ¿Necesitamos instalar SSL en los servidores WAF también?
A WAF aplica reglas de filtro al tráfico en un nivel de "aplicación" (por ejemplo, intenta detectar la inyección de SQL intentos). Esto requiere que el WAF vea el tráfico, es decir, cualquier SSL que haya ocurrido en el lado del cliente debe detenerse en el WAF. Pero, por lo general, desea que algunos SSL protejan el tráfico entre el cliente y el WAF (de hecho, por lo general, lo quiere más en ese enlace que entre el WAF y el propio servidor, ya que WAF y el servidor suelen estar cerca uno del otro).
Hay dos formas de que un WAF vea el tráfico protegido con SSL:
El WAF tiene una copia de la clave privada utilizada por el servidor (compatible con SSL) y, por lo tanto, puede descifrar los datos a medida que fluyen. (Esto puede implicar algunas restricciones en las suites de cifrado utilizadas por el servidor; es decir, no hay DHE).
El propio WAF ejecuta un servidor SSL, y ese es el que ve el cliente. El WAF descifra los datos, ejecuta su magia y luego los envía al servidor a través de una nueva conexión que puede o no estar protegida por SSL.
El que uses depende de lo que pueda hacer tu instancia de WAF y de cómo lo configuraste.