[pyar] [Semi-OT] SSL Offloading

[Luis Masuelli]

Estoy puteando con unas configuraciones de nginx desde hace un rato.

El tema es el siguiente: en este nginx van a convivir varias aplicaciones. Algunas son en PHP (son drupals que me dan ganas de cortarme las bolas), otras son en JAVA (son tomcats, aunque capaz que ahora que no tengo mas el jira "gharrrrrr!" ni el confluence tambien "gharrrrrrrr!" lo puedo fletar), y otras van a ser (todavia no, lastima) en Python/Django.

Por motivos de hacerlo similar a un entorno productivo, y por el hecho de que el manager HTML de tomcat y el PHPMyAdmin van a estar expuestos. Se que es medio raro eso de exponer un PHPMyAdmin de una empresa pero imaginense cuando hay que apagar un incendio y estamos arafue. Queremos poder apagar incendios pero no que nos rompan la bd unos boludos (escenario bastante cercano considerando que nos hackearon unos wordpress hace poco).

Entonces tenemos que exponer por SSL esas aplicaciones. Yo pensaba:

1. Nginx captura todas las http que recibe, y las redirige a https (ojo, digo redirect, no proxy_pass).
2. Expongo el trac atraves de https en nginx (proyecto1.trac.tebusco.lan para la red interna -- en planes de poner un dominio posta para exponer todo hacia afuera). 
3. Expongo aplicaciones PHP atraves de https.
4. Expondre aplicaciones Python atraves de https.

De lo que no me salvo ni en joda, es de tener que hacer salir varias cosas por el 80 y diferentes nombres. Por lo que un proxy necesito.

El proxy estara exponiendo aplicaciones que estan en la misma computadora.

Que desventajas tiene esto del SSL termination? A nivel de seguridad digo, considerando que todo esto ocurre en la misma maquina.
 		 	   		  
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20140823/d1b961ee/attachment.html>