服务器到服务器的REST通信需要SSL吗？

Question

背景

我有两个独立的服务器。Server 1是我的主服务器，客户端将直接连接到它，它承载了我的大部分内容。

Server 2包含在Server 1上不可用的特定数据。Server 2是一个完全独立的实例，并且是完全独立的URL。

Server 1已经安装了PHP，我使用file_get_contents()从Server 2检索信息(类似于谷歌建议为reCaptcha提供服务器的方式)。在下面的截图中，?是我关心的服务器到服务器的连接。现在，它正在使用https作为连接，但我想知道这是否有必要。

问题

首先，对于Server 1和Server 2之间的连接，是否需要使用SSL？

第二，我是否应该在这个连接中使用HTTP，而不管它是否受到SSL的保护？我听说过卷曲这个词，那会是一个替代词吗？

Answer 1

首先:现在最好还是在额外的安全方面做错事。如果在两个服务器之间实现TLS ( SSL已经成为什么)，那么拦截通信将变得更加困难。如果使用可信证书，则中间攻击中的man将变得更难执行。

接下来:如果您在服务器之间实现TLS并注意到严重的性能问题，那么可能是重新评估使用情况的时候了。传输需要安全吗？可以对诸如连接池或会话缓存之类的选项进行优化吗？

最后: CURL是一个应用程序，通常运行在http/https上，而不是协议本身。您可以使用curl发出http/s请求，但我不知道有curl://样式协议。

再来一遍:在网络的现代超安全环境中，如果有价值，人们会发现并打破你的实现中留下的任何漏洞，最好是尽可能多地实现安全。如果您要在服务器之间传输敏感数据，则通常在发生故障时会对此负责。

Answer 2

如果您想确保没有人可以拦截您的服务器1和2之间的流量，您需要使用TLS。

如果您接受可以在服务器1和2之间拦截或更改通信量，则可以使用HTTP。