我有一个在H2O代理下运行的网站,我们称之为服务器。后端是使用EasyEngine脚本运行的WordPress站点,让它称之为B服务器。
现在它像这样运行:
用户 - (让我们加密SSL) - > A(H2O代理) - (自签名SSL) - > B(nginx后端)。
我想知道攻击者是否知道我的后端IP地址,他可以解密或做有害的事情,或者看看用户发送给代理的是什么?以及如何制定更好的策略?
我曾考虑设置让我们从服务器加密SSL到B服务器。但我认为当我们的加密只能更新服务器上的证书时会出现问题,因为该域指向了A的IP地址。后端(B服务器)无法续订。
找到了这个答案,但我真的不知道怎么做:https://serverfault.com/a/735977。
答案 0 :(得分:1)
听起来你正在尝试做的就是将LetsEncrypt放到尽可能多的地方,可能面临的问题是后端本身没有适用后端的所有完全限定域名。为了获得证书,特别是自动续订。
但是LetsEncrypt的唯一目的是它为您提供了所有主流浏览器都能识别的证书,这样用户就不必手动验证并将证书安装到各自的cacert.pem
中。
但是如果您只需要在自己的后端和前端服务器之间建立安全连接,那么您就不会遇到同样的问题;因此,使用LetsEncrypt提供很少的额外保护(如果有的话)。您需要做的是在前端使用proxy_ssl_trusted_certificate
和proxy_ssl_verify
之类的内容来固定前端的后端证书和/或证书颁发机构,这将比在后端使用LetsEncrypt更安全(由于固定)。