it-swarm.com.de

Was sind die Vorteile, wenn Sie HTTPS zwischen AWS CloudFront und dem Origin-Server benötigen?

Ich hoste eine Website auf Amazon CloudFront und wir haben kürzlich die Distribution aktualisiert, um HTTPS zwischen CloudFront und den Zuschauern zu erfordern. Mit der Einführung von AWS Certificate Manager und der Rentabilität von SNI ist dieser Schritt einfach und kostengünstig. Die Verlagerung auf HTTPS bietet zahlreiche Vorteile.

Ich frage mich jetzt, welchen Vorteil es hat, HTTPS zwischen CloudFront und meinem Origin-Server (der ein benutzerdefiniertes Origin ist) zu benötigen. Ich weiß, das würde bedeuten, dass CF alle Origin-Objekte über HTTPS anfordert, aber ich habe Mühe, herauszufinden, welchen Nutzen (Sicherheit oder auf andere Weise) dies bietet. Gibt es einen praktischen Angriffsvektor, der ausgenutzt werden könnte, weil Anfragen an den Origin nicht über HTTPS erfolgen?

Das Einrichten und Verwalten von HTTPS auf dem Origin-Server ist mit einem höheren Verwaltungsaufwand verbunden. Ich möchte also wissen, ob sich der Aufwand aufgrund der Vorteile lohnt.

Ref: http://docs.aws.Amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html

5
Eric W

Wenn ein Angreifer in der Lage ist, sich zwischen Ihrem Origin-Server und dem CloudFront Edge-Standort zu bewegen, ist es für den Angreifer nicht so schwierig, Ihren HTTP-Datenverkehr zu erfassen und Ihre Informationen zu extrahieren. Theoretisch kann dies auf der Seite Ihres Internetdienstanbieters erfolgen. Es wird als "Man-in-the-Middle" -Angriff bezeichnet: https://en.wikipedia.org/wiki/Man-in-the-middle_attack

Wenn Sie Ihrem ISP oder Hosting-Anbieter zu 100% vertrauen, benötigen Sie kein HTTPS. Es ist auch nicht erforderlich, öffentliche Inhalte zu verschlüsseln. Auf jeden Fall ist die ultimative Best Practice, immer HTTPS zu verwenden.

3
Vladimir Mukhin

Das hängt von Ihrer Site ab.

Wenn Sie eine spezielle Website mit hoher Sicherheit betreiben und nur Personen in mehreren Ländern mit bestimmten Browsern für den Zugriff auf Ihre Website auswählen möchten, ist eine Anmeldung (oder eine für den Benutzer eindeutige Anmeldung) erforderlich, um auf den Großteil des Inhalts der Website zuzugreifen , dann würde ich sagen, für HTTPS gehen.

Wenn Sie eine generische Site haben, die Informationen enthält, die Sie auf der ganzen Welt sehen können, sollte HTTP für die HTML-Seiten in Ordnung sein. Obwohl ein Hacker Inhalte über HTTP einfacher herunterladen kann als mit HTTPS, arbeite ich immer noch mit HTTP, da es sich um ein schnelleres Protokoll handelt und Ihre Website schnell ausgeführt werden muss, damit Seiten indexiert werden können (insbesondere von Google).

Was den Man-in-the-Middle-Angriff betrifft, den jemand in seiner Antwort angegeben hat, ist es für eine Website, die für ein weltweites Publikum gedacht ist, nicht besonders wichtig. Ich bleibe bei HTTP und lasse das CDN die Site herunterladen. Hier und da kann es zu Verzögerungen kommen, während die Hacker ihre zufälligen Ruhmessekunden vollbringen. Damit meine ich, wo sie in Sekundenbruchteilen mehr als 10 MB Bandbreite verbrauchen. Ich weiß das, indem ich meine Server-Bandbreitendiagramme überprüfe.

Wenn Sie eine Site mit hoher Sicherheit erstellen, kann HTTPS hilfreich sein. Noch wichtiger ist jedoch, dass Sie sicherstellen, dass die Skripts, die die Site verarbeiten, zu 100% sicher und fehlerfrei sind.

0
Mike