Quiero entender cómo funciona el flujo entre IIS y Kestrel con respecto a la seguridad. Parece que la integración entre IIS y Kestrel es que IIS simplemente envía absolutamente todo lo que recibe a Kestrel, ya sea una solicitud HTTP válida o no. Sin embargo, IIS maneja el SSL, por lo que es bastante transparente para Kestrel.
Tengo una pregunta: ¿eso significa que, con la excepción de SSL, la seguridad la maneja Kestrel? Entonces, ¿todas las vulnerabilidades potenciales en IIS no son posibles o fáciles de explotar? Como por ejemplo un error que permitiera obtener el web.config hace algún tiempo de IIS solo sería posible abusar si Kestrel tiene un tipo de error similar.