只是 nginx 开启 ssl ，后端的 tomcat 不用 ssl，这样有安全风险吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› NGINX

› NGINX Trac

› 3rd Party Modules

› Security Advisories

› CHANGES

› OpenResty

› ngx_lua

› Tengine

在线学习资源

› NGINX 开发从入门到精通

NGINX Modules

› ngx_echo

这是一个创建于 3779 天前的主题，其中的信息可能已经有所发展或是发生改变。

SSL

Nginx

tomcat

11 条回复 • 2014-07-03 20:37:12 +08:00

yueyoum

2014-07-02 18:02:04 +08:00

tomcat 监听 127.0.0.1 或者部署在内网机器上，就是安全的

jimrok

2014-07-02 18:05:20 +08:00

一定程度，如果nginx被攻破，还是可以监听到tomcat的内容的。

wdlth

2014-07-02 18:52:27 +08:00

不用https应该是可以嗅探到的，最好还是双方都https，就像Google PageSpeed Service SSL。

a2z

2014-07-02 20:02:05 +08:00

@jimrok
nginx被攻破，后面用了ssl还是可以监听到。

jimrok

2014-07-02 20:20:01 +08:00

@a2z 做中间人的话，如果客户端验证证书是不是就无法连接成功了？

a2z

2014-07-02 20:33:30 +08:00

@jimrok
不是中间人，实际上是这样的

客户端 SSL加密--->Nginx SSL解密--->NGINX作为客户端SSL加密---->Tomcat SSL解密
^
|
|
|
|
SSL added and removed here :)

a2z

2014-07-02 20:34:07 +08:00

@a2z
中间那个竖线在nginx ssl解密后，再次加密发到tomcat前

izoab

2014-07-02 21:35:31 +08:00

@a2z 可是如果NG都被攻破了，那就算后面用的是SSL，貌似想听包或者做中间人也不是什么太大难度的事了，比如改回源目标

sharpnk

2014-07-02 21:35:42 +08:00

你有两把一模一样的锁。一把锁了大门，一把锁住卧室。两把同时锁给你带来的更多的是心理上的安慰。

jimrok

2014-07-03 13:37:29 +08:00

@izoab ssl一般是要校验证书的，你攻破nginx，但你没有tomcat上的ssl证书，客户端验证你的证书信息时候肯定出错。

duzhe0

2014-07-03 20:37:12 +08:00

nginx是怎么被攻破的？为什么nginx被攻破了，tomcat就不会被攻破了？