如果我们在负载均衡器而不是服务器上安装SSL证书，会不会有安全风险？

Question

我正在做一些研究，那么如果我们在负载均衡器而不是服务器上安装SSL证书，会不会有安全风险呢？安装SSL证书的行业最佳实践是什么？在服务器、负载均衡器还是ADC上？

Answer 1

这在serverfault上可能会更好，但我将在这里尝试一下。

假设负载均衡器配置正确并且不提供私钥，则不会因为您将SSL证书放在负载均衡器上而增加SSL证书本身的安全风险。此风险存在于任何服务器上，无论是否为负载均衡器，新操作系统的危害或攻击可能会导致这种情况发生，尽管可能性不大。

但是，如果负载均衡器只与内容服务器进行HTTP通信，则负载均衡器背后的流量可以不加密地发送，这取决于您的操作方式。因此，您需要将转发的连接也配置为使用HTTPS，或者使用内部证书和您自己的CA，或者通过在内容服务器上安装外部接口HTTPS证书(如果您的目标是遵循PCI，则需要执行此操作)。

请记住，还有一个负载风险，加密是昂贵的，并且通过将证书放在负载均衡器上，它增加了负载。如果负载均衡器已经超负荷工作，这可能是最后一根稻草。如果您正在查看大量事务，那么您往往会看到硬件SSL设备位于负责SSL流量的负载均衡器之前，然后与负载均衡器进行HTTP通信，负载均衡器与内容服务器进行HTTP通信。(同样，如果您的目标是PCI合规性，则需要HTTPS )

Answer 2

下面是我能想到的一些含义：

• 除非您重新加密SSL加速器和最终服务器之间的通信，否则内部网络上的通信将是明文。这可能会导致其他安全漏洞变得更加危险。根据您正在传输的数据的法律和合同要求，unacceptable.
• You可能会失去使用X509证书来识别客户端的能力。这可能是个问题，也可能不是，这取决于你在做什么。

至于证书管理，您将私钥存储在SSL加速器上，而不是存储在服务器上。这实际上可能是一个优势，因为如果web服务器被攻破，攻击者本身仍然无法访问私钥，因此将无法窃取它们。

Answer 3

有很多级别的负载平衡。在大多数流行的配置中，您别无选择，只能将证书放在负载均衡器中。

例如，如果您在负载均衡器中代理HTTP流量，它必须终止SSL连接，因此它必须具有证书。

通常，负载均衡器位于安全区，因此您不必在均衡器和服务器之间使用SSL。如果不是这样的话，您可以再次使用SSL，但是这样就违背了大多数交换机上SSL加速功能的目的。