como probablemente sepa, el problema con los ataques DDoS basados en SSL es que el tráfico no puede ser analizado y filtrado por un proveedor de servicios de mitigación DDoS como Prolexic, Akamai, Radware, etc. sin tener la clave para descifrar el tráfico.
Hace poco hablé con uno de los empleados de las empresas mencionadas anteriormente (digamos, compañía A) y dijeron que la única forma es utilizar uno de sus productos, que se encuentra en su red y su propósito es entregar contenido a través de ssl y envíe todo el tráfico en texto sin formato a la solución de defensa (la misma compañía, también la red interna), que a su vez proporciona el "buen tráfico" filtrado a sus servidores web internos.
Otras compañías tienen el enfoque de que usted les entrega la clave ssl, para que puedan descifrar y analizar su tráfico y pasar el tráfico limpio a sus servidores.
La compañía A declaró que lo último es un nogo absoluto y que ni siquiera debería considerarse. El problema es que su solución solo puede filtrar tanto tráfico como su infraestructura y su dispositivo pueden manejar, mientras que las soluciones en la nube tienen capacidades mucho más altas.
Entonces, la pregunta es, ¿hay alguna otra forma de mitigar los ataques DDoS basados en SSL? ¿Es la entrega de su clave ssl realmente tan mala y por qué?
Sé que ya existía una pregunta sobre "almacenar claves en la nube: confiar en el proveedor de la nube frente a su propia computadora portátil, etc." así que lo siento si parte de esto es un duplicado, pero las respuestas no respondieron realmente a mi pregunta.