フロントエンドとバックエンドの両方にSSL証明書が必要ですか？

Question

2つのRailsアプリがあります（1つはフロントエンド用、もう1つはバックエンド用（API））2つの異なるサーバーにホストされています。フロントエンドへの応答のみバックエンドは当社のオフィスアドレスからのみアクセス可能で、フロントエンドアプリケーションとの通信に設定されています

今日、フロントエンドアプリのEV SSL証明書をDigiCertから購入しました。私たちは、それが今までにどのようなデータ我々はバックエンドに私たちの前端から渡していることは？

• が我々を行い、暗号化されていないだろうということを意味しない、バックエンドでSSL証明書を持っていませんフロントエンドサーバとバックエンドサーバの両方にSSL証明書が必要ですか？
• バックエンドサーバーのみがフロントエンドのアプリにリクエストしていますが、他のクライアントはバックエンドに接続していませんか？だから私はバックエンドのための自己署名または安いSSL証明書を使用することはできますか？
• DigiCertから別のSSL証明書を購入する必要がありますか？ （少し高価）

私はすでにスタックオーバーフローに関する疑問を抱いています。両方のサーバーにsslをインストールすることをお勧めします。これは初めてサーバでSSL証明書を設定しようとしたので、バックエンドアプリ用の別のSSL証明書を購入する前に再確認したいだけです。

更新

は、私はこの1つhttps://cheapsslsecurity.com.au/

Answer 1

のような安価なプロバイダに向けた提案はい、あなたはバックエンドのためにSSLが必要になりますが、人々が何であるか、いくつかの安価なSSL証明書が提供していました。それはすべてのロジックとデータが保存される重要な場所です。フロントエンドでそれほど重要ではないが、支払いやその他の機密情報に対応している場合は、フロントエンドで必要とする。自己署名のウェブサイトが 資格情報を確保していないことを恐れて、自己署名 車SSL証明書の潜在的な顧客に関連付けられている公開サイト

セキュリティ警告に使用するの

リスク。ブランドの評判と顧客の信頼はともに です。

私は完全にthisの記事に同意します。特に、支払いを処理する際には自己署名SSLを使用しないでください。内部テストのために、あなたは可能性があります。しかし、プロダクションでは、使用しないことを強く推奨します。 https://www.thawte.com/ssl/

Answer 2

SSLは、サーバとクライアントの間でデータを暗号化：その代わりCertificate Authority

参考にしているSSLSで行きます。

サーバーを安全にするわけではありません。

暗号化されていないデータを、クライアントとサーバーの間のすべての小さなホップに送信することを防ぎます。

バックエンドは、完全に別個の地理的位置または隣のサーバーファームにある可能性があります。しかし、それはまだいくつかのルータを通ってそこに着くことができます。 SSLを使用しない場合、データはraw形式で送信されます。私はいくつかのサーバーを持っています。いくつかは同じホストの異なるラックにあり、いくつかは数百マイル離れています。同じ地域内でラック間を移動するには、いまだにVPNを必要としないさまざまなルータ上でのホップが必要です。そう、はい、あなたが非常に妄想的で、フロントエンドとバックエンドの間にVPNを持っていない場合は、バックエンドを保護してください。しかし、これは2つの間でデータを暗号化することです。それはサーバーを「安全に」するものではありません。

これはどういう意味ですか？あなたのバックエンドをasuming httpの存在（Web上で発見することはできません）がありますし、バックエンドのSSLはおそらく過剰です。どうして？それが存在することを知っている唯一の人が従業員であることを考えれば、それが存在することを知っている誰かからサーバーを保護したり、アクセス方法をSSLで保護することはできません。

SSLは、SQLインジェクションなどの他の攻撃からあなたを守りません。たとえば、Equifaxが主張しているEquifax違反はApache Strutsのバグでした（私の推測によれば、それは目に会うよりもそれ以上のものでした）。

SSLは、欠陥のあるシステム上のバンドエイドです。サーバーを安全にするわけではありません。サーバーとクライアントの間でデータを暗号化するだけです。