¿Hay algún riesgo de seguridad si instalamos el Certificado SSL en el equilibrador de carga en lugar de los servidores?

Question

estoy investigando un poco sobre esto, entonces ¿hay algún riesgo de seguridad si tenemos el certificado SSL instalado en el equilibrador de carga en lugar del servidor? y ¿cuál es la mejor práctica de la industria para instalar certificados SSL? en el servidor, balanceador de carga o ADC?

muchas gracias!

Answer 1

Esto es probablemente mejor en serverfault, pero voy a intentarlo aquí.

No hay mayor riesgo de seguridad para el certificado SSL en sí mismo simplemente porque usted coloca el certificado SSL en el equilibrador de carga, suponiendo que el equilibrador de carga está configurado correctamente y no va a servir la clave privada. Este riesgo existe en cualquier servidor, equilibrador de carga o no, un nuevo compromiso o ataque de SO podría, aunque es poco probable, permitir que eso suceda.

Sin embargo, dependiendo de cómo lo haga, el tráfico detrás del equilibrador de carga podría enviarse sin cifrar, si el equilibrador de carga solo habla HTTP a los servidores de contenido. Por lo tanto, debe configurar las conexiones reenviadas para que también usen HTTPS, ya sea mediante certificados internos y su propia CA, o instalando el certificado HTTPS de cara externa en los servidores de contenido (y deberá hacerlo si lo que busca es Cumplimiento PCI).

Recuerde que también existe un riesgo de carga, el cifrado es costoso y al colocar el certificado en el equilibrador de carga aumenta, por ejemplo, la carga. Si el equilibrador de carga ya está sobrecargado, esta puede ser la gota final. Si observa muchas transacciones, tiende a ver un dispositivo SSL de hardware instalado antes del equilibrador de carga que se encarga del tráfico SSL, luego habla HTTP al equilibrador de carga, que habla HTTP a los servidores de contenido. (De nuevo, esto tiene que ser HTTPS si usted está apuntando para el cumplimiento de PCI)

Answer 2

Estas son las consecuencias que podría pensar en:

• A menos que volver a cifrar el tráfico entre el acelerador SSL y el servidor final, el tráfico en la red interna estará en texto claro. Eso podría causar que otras fallas de seguridad se vuelvan más peligrosas. Dependiendo de cuáles sean sus requisitos legales y contractuales con respecto a los datos que está transfiriendo, podría ser inaceptable.
• Perderá la capacidad de usar el certificado X509 para identificar a los clientes. Esto podría ser un problema o no dependiendo de lo que estés haciendo.

En cuanto a la gestión de certificados, está almacenando la clave privada en el acelerador SSL en lugar del servidor. Esto podría ser una ventaja, ya que si el servidor web se ve comprometido, el atacante aún no tendrá acceso a la clave privada y, por lo tanto, no podrá robarla.

Answer 3

Hay muchos niveles de equilibrio de carga. No tiene más remedio que poner cert en el equilibrador de carga en las configuraciones más populares.

Por ejemplo, si está transmitiendo el tráfico HTTP en el equilibrador de carga, debe terminar la conexión SSL, por lo que debe tener el certificado.

Normalmente, el equilibrador de carga vive en la zona segura para que no tenga que usar SSL entre balanceador y su servidor. Si ese no es el caso, puede usar SSL nuevamente, pero no cumple con la función de aceleración SSL en la mayoría de los switches.