如果有两个应用程序通过 http 使用 web 服务进行通信,是否建议使用 ssl,即使主机名:端口不是面向外部的?
如果可以合理地保证没有外部调用会到达这个应用程序,为什么我们仍然需要使用 ssl?
SSL(和 HTTPS,基本上是基于 SSL 的 HTTP)在正确配置后停止客户端和服务器之间的所有窥探。窥探者可以在您的组织内部也可以在组织外部。是的,内部人员不应该这样做,但它确实发生了,仅仅依靠网络配置来保护你是不明智的。
但是你不需要花很多钱在这上面!您可以使用内部证书颁发机构(OpenSSL 包含您需要的所有软件,即使文档和界面还有很多不足之处)并且很少有内部应用程序需要扩展很多,因此您可能不需要任何特殊硬件,例如随机数来源。保护服务器的工作量很小,对合法用户的入侵也很小,没有理由不这样做。
请记住,您永远不应该只应用一层安全性。申请多!SSL。防火墙。网络分离。记录。每个都可以防止不同类型的问题和攻击者。