[pyar] [Semi-OT] SSL Offloading

[Claudio Freire]

2014-08-25 14:41 GMT-03:00 Wuelfhis Asuaje <wasuaje en hotmail.com>:
>> Por motivos de hacerlo similar a un entorno productivo, y por el hecho de
>> que el manager HTML de tomcat y el PHPMyAdmin van a estar expuestos. Se que
>> es medio raro eso de exponer un PHPMyAdmin de una empresa pero imaginense
>> cuando hay que apagar un incendio y estamos arafue. Queremos poder apagar
>> incendios pero no que nos rompan la bd unos boludos (escenario bastante
>> cercano considerando que nos hackearon unos wordpress hace poco).
>
> Siempre vas a exponer por ssl el frontend, si es tan importante el tema de
> seguridad, yo crearia varios "sites-availables" en nginx, cada uno con
> certificados ssl cliente-servidor (vas a entregar el cliente.p12 a cada
> administrador) de manera que solo gente con certificado pueda llegar a
> "apagar los incendios como dices

Excepto en algunos clientes (browsers) que soportan extensiones
específicamente diseñadas para eso (SNI), o sea que tenés una
limitación de compatibilidad ahí si no podés limitarte a esos servers,
normalmente no se puede hacer eso. SSL es un protocolo a nivel de
transporte, que no sabe nada de virtual servers (el header Host de
HTTP), así que no puede negociar con un certificado diferente para
cada sitio. A su vez, es bastante costoso conseguir un certificado
multi-sitio (son muchos más caros que los comunes).

Así que o lo hacés con SNI, o con IPs diferentes (ojo, eso no
necesariamente implica servers diferentes o múltiples interfaces, una
interfaz se puede configurar con múltiples IPs).