客户端TLS终止的安全含义

Question

我有一堆HTTP服务/设备TLS不知道。我希望允许他们访问广域网，但我当然不希望他们在普通HTTP中这样做。

由于遗留问题和适当的TLS实现的硬件需求，更新它们是不可行的。

我唯一可以强制加密的地方是WAN <-> LAN网关，它使用TLS代理，并得到防火墙的一些帮助。

这个解决方案的安全风险是什么？

Answer 1

简单地说，风险在于在TLS代理和终端won服务器之间没有TLS。

这种设计是相当普遍：许多服务在负载均衡器上终止TLS连接，并从那里运行普通的HTTP到the服务器。如果您适当地分割您的网络，您可以减少风险，使该链接的其余部分未加密。

也见这个答案。