[pyar] [Semi-OT] SSL Offloading

[Claudio Freire]

2014-08-25 16:55 GMT-03:00 Claudio Freire <klaussfreire en gmail.com>:
> 2014-08-25 14:41 GMT-03:00 Wuelfhis Asuaje <wasuaje en hotmail.com>:
>>> Por motivos de hacerlo similar a un entorno productivo, y por el hecho de
>>> que el manager HTML de tomcat y el PHPMyAdmin van a estar expuestos. Se que
>>> es medio raro eso de exponer un PHPMyAdmin de una empresa pero imaginense
>>> cuando hay que apagar un incendio y estamos arafue. Queremos poder apagar
>>> incendios pero no que nos rompan la bd unos boludos (escenario bastante
>>> cercano considerando que nos hackearon unos wordpress hace poco).
>>
>> Siempre vas a exponer por ssl el frontend, si es tan importante el tema de
>> seguridad, yo crearia varios "sites-availables" en nginx, cada uno con
>> certificados ssl cliente-servidor (vas a entregar el cliente.p12 a cada
>> administrador) de manera que solo gente con certificado pueda llegar a
>> "apagar los incendios como dices
>
> Excepto en algunos clientes (browsers) que soportan extensiones
> específicamente diseñadas para eso (SNI), o sea que tenés una
> limitación de compatibilidad ahí si no podés limitarte a esos servers,
> normalmente no se puede hacer eso. SSL es un protocolo a nivel de
> transporte, que no sabe nada de virtual servers (el header Host de
> HTTP), así que no puede negociar con un certificado diferente para
> cada sitio. A su vez, es bastante costoso conseguir un certificado
> multi-sitio (son muchos más caros que los comunes).


Y si sí podés usar SNI:

https://www.digitalocean.com/community/tutorials/how-to-set-up-multiple-ssl-certificates-on-one-ip-with-nginx-on-ubuntu-12-04