是否所有服务器都需要使用HTTPS协议或仅使用面向公众的服务器？

Question

我有一个通过HTTPS运行的前端Web服务器 - 这是面向公众的 - 即端口已打开。

我还有一个后端API服务器，我的网络服务器发出API请求 - 这是面向公众的，需要身份验证 - 端口是打开的。

这两台服务器通过HTTPS运行。

在API服务器后面，还有很多其他服务器。 API服务器反向代理这些服务器。这些其他服务器的端口不对传入流量开放。它们只能通过API服务器进行通信。

我的问题......“许多其他服务器”是否需要通过HTTPS运行，或者由于无法在外部访问，它们是否可以安全地通过HTTP运行？

我认为这是一个常见的问题，但我无法找到答案。谢谢。如果这是一个骗局，请指出我正确的答案。

Answer 1

TL; DR 您应加密流量，除非它位于同一主机上。

您无法信任您的网络。您自己网络中的恶意软件可以拦截/修改http请求。

这不是理论上的攻击，而是现实生活中的例子：

• 注入广告的网站内的路由器（可能已被黑客攻击）：https://www.blackhat.com/docs/us-16/materials/us-16-Nakibly-TCP-Injection-Attacks-in-the-Wild-A-Large-Scale-Study-wp.pdf

• 印度网络在云端和后端之间嗅探：https://medium.com/@karthikb351/airtel-is-sniffing-and-censoring-cloudflares-traffic-in-india-and-they-don-t-even-know-it-90935f7f6d98#.hymc3785e

• 现在着名的＆＃34; SSl在这里添加和删除： - ）＆＃34;来自国家安全局

Answer 2

问题是您对公共IP和后端服务器之间的连接有多信任？

如果它不是您的数据中心，则至少ISP的任何特权员工都可以查看/更改数据。我猜这不是客户想要听到的。

如果它是您的数据中心，意味着 是一种ISP，那么每个拥有数据中心物理访问权限的人都可能会嗅到明文流量。或者一般来说，任何有权访问网络的人都可以看到流量，在公司中实施严格的访问控制要困难得多。