Apakah ada risiko keamanan jika kita memasang Sertifikat SSL di penyeimbang beban, bukan di server?

Ini mungkin lebih baik pada serverfault, tapi saya akan mencobanya di sini.

Tidak ada peningkatan risiko keamanan untuk sertifikat SSL itu sendiri hanya karena Anda meletakkan sertifikat SSL pada penyeimbang beban, dengan asumsi penyeimbang beban dikonfigurasi dengan benar dan tidak akan menyajikan kunci pribadi. Risiko ini ada di server mana pun, baik penyeimbang beban atau tidak, kompromi atau serangan OS baru mungkin, meskipun kecil kemungkinannya, memungkinkan hal tersebut terjadi.

Namun bergantung pada bagaimana Anda melakukannya, lalu lintas di belakang penyeimbang beban dapat dikirim tidak terenkripsi, jika penyeimbang beban hanya mengirimkan HTTP ke server konten. Jadi, Anda perlu mengonfigurasi koneksi yang diteruskan untuk menggunakan HTTPS juga, baik menggunakan sertifikat internal dan CA Anda sendiri, atau dengan menginstal sertifikat HTTPS yang menghadap secara eksternal di server konten (dan Anda harus melakukan ini jika Anda ingin kepatuhan PCI).

Ingat, ada juga risiko beban, enkripsi itu mahal, dan dengan meletakkan sertifikat pada penyeimbang beban, hal itu akan meningkatkan, errr, beban di dalamnya. Jika penyeimbang beban sudah terlalu meregang, ini mungkin tantangan terakhir. Jika Anda melihat banyak transaksi maka Anda cenderung melihat perangkat SSL perangkat keras berada sebelum penyeimbang beban yang menangani lalu lintas SSL, kemudian menghubungkan HTTP ke penyeimbang beban, yang menghubungkan HTTP ke server konten. (Sekali lagi ini harus HTTPS jika Anda menginginkan kepatuhan PCI)

Berikut implikasi yang dapat saya pikirkan:

• Kecuali Anda mengenkripsi ulang lalu lintas antara akselerator SSL dan server akhir, lalu lintas di jaringan internal akan berbentuk teks biasa. Hal ini dapat menyebabkan kelemahan keamanan lainnya menjadi lebih berbahaya. Tergantung pada persyaratan hukum dan kontrak Anda mengenai data yang Anda transfer, hal ini mungkin tidak dapat diterima.
• Anda akan kehilangan kemampuan untuk menggunakan sertifikat X509 untuk mengidentifikasi klien. Ini bisa menjadi masalah atau tidak tergantung pada apa yang Anda lakukan.

Sedangkan untuk manajemen sertifikat, Anda menyimpan kunci pribadi di akselerator SSL, bukan di server. Hal ini sebenarnya bisa menjadi keuntungan karena jika server web disusupi, penyerang tetap tidak memiliki akses ke kunci pribadinya dan oleh karena itu tidak akan dapat mencurinya.

Ada banyak tingkatan penyeimbangan beban. Anda tidak punya pilihan selain memasukkan sertifikat ke dalam penyeimbang beban di sebagian besar konfigurasi populer.

Misalnya, jika Anda mem-proxy lalu lintas HTTP di penyeimbang beban, koneksi SSL harus dihentikan sehingga harus memiliki sertifikat.

Biasanya, penyeimbang beban berada di zona aman sehingga Anda tidak perlu menggunakan SSL antara penyeimbang dan server Anda. Jika bukan itu masalahnya, Anda dapat menggunakan SSL lagi tetapi Anda menggagalkan tujuan fitur akselerasi SSL di sebagian besar switch.