Hace poco configuré una API en una instancia de AWS EC2. Para poder dar respuestas a través de HTTPS, utilicé Route 53 para redirigir mi dominio personalizado a una distribución de CloudFront que apunta a la instancia de EC2. Mi distribución de CloudFront se sirve a través de HTTPS con un certificado personalizado. No estoy restringiendo el tráfico en absoluto a la API.
Entonces, mi pregunta es: ¿es esto realmente una configuración segura o da la ilusión de seguridad (supongo que la primera ya que Amazon sabe lo que están haciendo, pero me pregunto cómo)? Según tengo entendido, el servicio de contenido seguro a través de HTTP es malo porque los atacantes podrían potencialmente interceptar las solicitudes y decodificarlas. HTTPS previene esto al encriptar las solicitudes para que solo el remitente y el destinatario puedan entenderlas.
Entonces, si hago una solicitud a través de HTTPS desde mi interfaz, aquí está la ruta de la solicitud (en mi cabeza): desde la interfaz, a la distribución de CF, luego a la instancia de EC2. Ahora sé que el envío desde la interfaz a la distribución de CloudFront es seguro porque ambos están protegidos con SSL. Sin embargo, hasta donde sé, la conexión entre la distribución de CF y mi instancia de EC2 es insegura, ya que el EC2 sirve contenido a través de HTTP.
¿Un atacante (teóricamente) no podría ejecutar un ataque de hombre en medio entre la distribución de CF y EC2? Pero cuando me conecto a mi API directamente desde mi navegador, no recibo ninguna advertencia de seguridad y aparece como cifrado SSL.