Tengo un proxy inverso (por ejemplo, nginx, nghttpx, haproxy) que sirve de proxy para la conexión a un servicio que se ejecuta en el mismo servidor físico. Creo que la forma más común de configurar esta configuración es habilitar TSL solo en el frontend y dejar la conexión de backend sin seguridad. En otras palabras, el proxy inverso es el punto de terminación TLS.
¿Por qué no hay problemas de seguridad al dejar el backend sin garantía?
Si un cliente malintencionado conoce la dirección / puerto de un servicio backend, ¿no pueden conectarse a él directamente sin tener un certificado válido y esto no es un gran riesgo para la seguridad?