我們是否需要前端和後端的SSL證書？

Question

我們有2個Rails應用程序（一個用於前端，另一個用於2個不同服務器上的後端（api）。用戶來到我們的前端應用程序並填寫訂單表單。然後我們發送json請求到後端和後端發送確認json響應前端。後端是從我們的辦公室地址才能訪問，並建立溝通，只是我們的前端應用程序。

今天我們購買EV SSL證書，爲我們的前端應用程序從DigiCert，一切都做工精細，但由於我們在後端沒有SSL證書，這是否意味着我們從前端傳遞給後端的數據將是未加密的？

• 我們是否前端和後端服務器都需要SSL證書嗎？
• 我們的後端只有服務器請求我們的前端應用程序，沒有其他客戶端連接到我們的後端？那麼我可以在後端使用自簽名還是廉價的SSL證書？
• 或者我應該從DigiCert購買另一個SSL證書嗎？ （有點貴）

我已經經歷了一些堆棧溢出問題，看起來像是建議在兩臺服務器上安裝ssl。這是我第一次嘗試在服務器上設置SSL證書，所以只需要在爲我們的後端應用購買另一個SSL證書之前仔細檢查。

更新

我發現一些便宜的SSL證書提供，什麼是人民對更便宜的供應商建議，像這樣的https://cheapsslsecurity.com.au/

Answer 1

是的，你需要爲你的後臺SSL。這是所有邏輯和數據存儲的重要位置。在前端並不那麼重要，但如果您正在處理付款或任何其他機密信息是的，您確實需要在前端。

風險使用自簽名的公共場所

的安全警告，使用自簽名SSL證書 車程潛在客戶因爲擔心網站不保證 他們的證書相關的。品牌聲譽和客戶信任都損壞了 。

我完全同意this文章，不要使用自簽名SSL，特別是在處理付款時。對於內部測試，你可以。但在生產中，強烈建議不要使用它。 https://www.thawte.com/ssl/

Answer 2

SSL只加密服務器和客戶端之間的數據：不是與與Certificate Authority

參考SSLS去。

它不會保證服務器的安全。

它只能防止通過數據在客戶端和服務器之間產生的所有小跳躍來發送未加密的數據。

您的後端可能位於完全獨立的地理位置或隔壁的服務器場中。但是，它仍然可能通過幾臺路由器到達那裏。沒有SSL，數據以原始數據發送。我有幾臺服務器，有些位於同一主機的不同機架上，有些服務器相隔數百英里。在相同的地理位置上從機架到機架仍然需要在各種路由器上跳躍 - 不需要VPN。所以，是的，如果你非常偏執，並且在前端和後端之間沒有VPN，那麼確保後端安全。但是，所有這些都是對兩者之間的數據進行加密。它不會使服務器'安全'。

這是什麼意思？假設你的後端沒有HTTP存在（在網絡上不可發現），那麼後端的SSL可能是矯枉過正的。爲什麼？ Becaue知道它存在的只有員工 - 並且沒有任何SSL可以保護服務器免受任何知道它存在的人或如何訪問它。

SSL也不會保護您免受其他攻擊，例如SQL注入。例如，Equifax聲稱的Equifax漏洞是Apache Struts中的一個漏洞（儘管我的猜測是，除此之外，還有更多的不足之處）。

SSL是一個有缺陷的系統的創可貼。它不能保證服務器的安全。它所做的只是加密服務器和客戶端之間的數據。