¿Es suficiente la protección de Apache con certificados SSL para proteger todas las aplicaciones subyacentes? [duplicar]

0

Tengo algunas aplicaciones que sirven contenido HTTP en localhost. Instalé apache y configuré el proxy inverso para que apache enrute todo el tráfico a las aplicaciones subyacentes según los patrones de URL.

Luego ejecuté cert-bot e instalé un certificado SSL de Let's Encrypt.

Solo Apache sabe sobre SSL y HTTPS.

¿Esto es seguro? ¿Estoy haciendo algo mal?

¿Es más seguro si mis aplicaciones manejan SSL o puedo dejar que Apache se encargue de eso?

Sé que cualquier persona dentro de mi servidor puede omitir SSL, por supuesto. No considero que sea un problema.

    
pregunta Hristo Kolev 14.02.2018 - 09:08
fuente

2 respuestas

1

Si su servidor está usando solo el certificado del servidor y confía en la conexión entre apache y su servidor de aplicaciones (por ejemplo, si apache se conecta a su aplicación en la misma máquina o si están conectados físicamente en el mismo servidor), entonces Permitir que Apache realice el descifrado SSL no es menos seguro que tratarlo usted mismo, y sería una aplicación mucho más sencilla.

Si su aplicación necesita tratar con certificados de cliente, entonces su aplicación generalmente tendrá que participar en parte en la verificación del certificado, incluso cuando le permite a apache hacer el cifrado real.

    
respondido por el Lie Ryan 14.02.2018 - 15:40
fuente
2

SSL / TLS solo se utiliza para proteger el transporte de datos entre el cliente y el servidor. Solo protege contra el olfateo o la modificación de estos datos durante el transporte. No protege contra ataques que no requieran rastrear o manipular el transporte, es decir, ataques como CSRF, inyección SQL, adivinación de contraseñas y muchos más.

    
respondido por el Steffen Ullrich 14.02.2018 - 09:56
fuente

Lea otras preguntas en las etiquetas