<html><body><style> .apply-styles p.-wm-MsoNormal, .apply-styles p.-wm-MsoNoSpacing{margin:0}</style><div>Jak se to vezme. Znamena to slozitejsi distribuci certifikatu a udrzovani in-sync (proxy je jedna az dve, webserveru muzou byt desitky), webserver se zbytecne zatezuje vypoctem sifer, slozitejsi aplikaci, chyba na webu muze zpristupnit private key. Oba pristupy maji svoje pro i proti a musi se zvazit vzdycky co je pro danou aplikaci vhodne.</div><div><br></div><div>Ja osobne HTTPS terminuju na balanceru na HAProxy a pak dal uz jedu po vnitrni VLANe nesifrovane.</div><div><br></div><div>Ondra Flidr<br></div><div><br></div><aside>
---------- Původní e-mail ----------<br>
Od: Jindřich Sadílek <jindrich.sadilek@gmail.com><br>
Komu: community-list@lists.vpsfree.cz<br>
Datum: 14. 6. 2020 16:45:39<br>
Předmět: Re: [vpsFree.cz: community-list] Nginx proxy, SSH
</aside><br><blockquote data-email="jindrich.sadilek@gmail.com"><div>Jen protože to dnes je bezpečné, neznamená že že to zítra někdo nedokáže zneužít. Netřeba implementovat celý NIST zero-trust ( <a href="https://csrc.nist.gov/publications/detail/sp/800-207/draft">https://csrc.nist.gov/publications/detail/sp/800-207/draft</a> ), ale třeba doručení HTTPS až na webserver vs ukončení na proxy, nic nestojí.<br></div><div><br></div><div>Jindra<br></div><div><br></div><div>On Sun, Jun 14, 2020, at 15:19, Jan B. Kolář wrote:<br></div><blockquote id="-wm-__1eb84a1c__-wm-qt"><div>Ahoj,<br></div><div><br></div><div>díky moc Petrovi a Jirkovi za reakce. Asi jsem měl napsat, že ta TLS <br></div><div>terminace na proxy se mi líbí a chtěl bych to tak zkusit nasadit :-) Šlo <br></div><div>mi hlavně o to, jestli mi v našem VPS prostředí neunikají nějaká <br></div><div>vážnější bezpečností rizika, na která bych si měl dát pozor.<br></div><div><br></div><div>Díky za upozornění ohledně aplikací a jejich případné nefunkčnosti za <br></div><div>proxy. Už jsem na to narazil v jednom článku a můj plán je přesouvat <br></div><div>jeden web po druhém, abych to mohl otestovat a případně odladit.<br></div><div><br></div><div>Ještě jsem se s Vámi chtěl podělit o jeden odkaz s informacemi a <br></div><div>ukázkami nastavení Nginxu. Přijde mi to celkem solidně zpracované, tak <br></div><div>se to třeba bude někomu hodit:<br></div><div><br></div><div><a href="https://github.com/trimstray/nginx-admins-handbook">https://github.com/trimstray/nginx-admins-handbook</a><br></div><div><br></div><div>Zdraví<br></div><div><br></div><div>Honza<br></div><div><br></div><div>Dne 13. 06. 20 v 14:24 Petr Kutalek napsal(a):<br></div><div>> Ahoj,<br></div><div>><br></div><div>>> 2) Šifrování mezi proxy a backendem<br></div><div>>><br></div><div>>> Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti<br></div><div>>> mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili<br></div><div>>> privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto<br></div><div>>> jsem se chtěl zeptat, zda byste v našem prostředí považovali za<br></div><div>>> bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a<br></div><div>>> backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je<br></div><div>>> možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda<br></div><div>>> to není overkill.<br></div><div>><br></div><div>> tady jen doplním, že pokud nechceš, Nginx _nemusí_ vystupovat v roli <br></div><div>> TLS termination proxy. Jinak řečeno Nginx umí celý ten stream vzít a <br></div><div>> podle SNI hlavičky předat dále na konkrétní stroj. Konfiguruje se to <br></div><div>> pak ve "stream" direktivě, nikoli "http". Výhoda je mj. i ta, že takto <br></div><div>> můžeš obsloužit nikoli jen HTTPS, ale cokoli, co lze do TLS zabalit.<br></div><div>><br></div><div>> A jinak Nginx umí také proxy protocol převzatý z HAProxy, takže i <br></div><div>> tímto způsobem umí předat TLS stream dále (včetně informace o source <br></div><div>> IP). Reverse proxy != TLS termination proxy, záleží čistě na Tobě, kde <br></div><div>> chceš TLS ukončit. Argumentů pro různé varianty je hodně.<br></div><div>><br></div><div>> Radek Zajíc tady dal dříve odkaz na pěknou a srozumitelnou přednášku z <br></div><div>> Mythic Beasts, tuším i tam to zmiňovali, jak to mají vyřešené.<br></div><div>><br></div><div>> Petr<br></div><div>> _______________________________________________<br></div><div>> Community-list mailing list<br></div><div>> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div><div>> <a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div><div><br></div><div>-- <br></div><div>Jan B. Kolář<br></div><div><br></div><div>Zažeň nudu<br></div><div>Hodolanská 17, 779 00 Olomouc<br></div><div>tel: +420 605 800 859<br></div><div>e-mail: <a href="mailto:janbivoj.kolar@zazen-nudu.cz">janbivoj.kolar@zazen-nudu.cz</a><br></div><div><a href="http://www.zazen-nudu.cz">www.zazen-nudu.cz</a><br></div><div><br></div><div>_______________________________________________<br></div><div>Community-list mailing list<br></div><div><a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br></div><div><a href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a><br></div><div><br></div></blockquote><div><br></div>_______________________________________________<br>Community-list mailing list<br>Community-list@lists.vpsfree.cz<br>http://lists.vpsfree.cz/listinfo/community-list<br></blockquote></body></html>