如果我们在负载均衡器而不是服务器上安装SSL证书,是否存在安全风险？

我正在对此进行一些研究,如果我们在负载均衡器而不是服务器上安装了SSL证书,是否存在安全风险？安装SSL证书的行业最佳做法是什么？在服务器,负载均衡器或ADC？

这在服务器故障上可能会更好,但我会在这里试一试.

SSL证书本身没有增加的安全风险,因为您将SSL证书放在负载均衡器上,假设负载均衡器配置正确并且不会提供私钥.这种风险存在于任何服务器,负载均衡器上,新的操作系统受损或攻击可能会发生,但不太可能发生.

但是,如果负载均衡器仅将HTTP与内容服务器进行通信,则根据您的操作方式,负载均衡器后面的流量可以不加密地发送.因此,您需要将转发的连接配置为使用HTTPS,使用内部证书和您自己的CA,或者在内容服务器上安装外部HTTPS证书(如果您的目标是,则需要执行此操作) PCI合规性).

请记住,还存在负载风险,加密费用昂贵,并且通过将证书放在负载均衡器上,它会增加负载,错误负载.如果负载平衡器已经过度拉伸,则可能是最后一根吸管.如果您正在查看大量事务,那么您往往会看到硬件SSL设备位于负载均衡器之前,负责处理SSL流量,然后将HTTP与负载均衡器进行对话,负载均衡器将HTTP与内容服务器进行通信.(如果您的目标是PCI合规,那么这需要是HTTPS)