NodeJS, Nginx и SSL. Нужно ли между бакендом на node и nginx устанавливать ssl соединение?

Question

[rizzli]

Имеется бакенд на 3000 порту, из вне порт закрыт. Его проксирует nginx на 80 порт.
Между клиентом и nginx устанавливается https соединение.

upstream backend {
	server 127.0.0.1:3000;
	keepalive 8;
}
server {
	# SSL configuration
	#
	listen 443 ssl;
	listen [::]:443 ssl;
	ssl_certificate /etc/ssl/ssl-bundle.crt;
	ssl_certificate_key /etc/ssl/r_ru.key;
	add_header Strict-Transport-Security "max-age=31536000";
	#
	location / {
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header Host $http_host;
		proxy_set_header X-NginX-Proxy true;

		proxy_pass backend;
		proxy_redirect off;
	}
}

Нужно ли между nginx и бакендом тоже устанавливать ssl содинение?

server {
        ...
        proxy_ssl_certificate     /etc/ssl/certs/backend.crt;
        proxy_ssl_certificate_key /etc/ssl/certs/backend.key;
        proxy_pass backend;
        proxy_ssl  on;
}

Просто всегда думал то что стоит за nginx уже может работать без ssl.

Answer 1

[sim3x]

На одном сервере - лучше использовать сокет
На нескольких - стоит использовать шифрование, даже на самоподписанных сертификатах

Comments

[rizzli]

А как тогда должен выглядеть конфиг? Все что мне попадались были http

[sim3x]

rizzli:

Я вас не совсем понял

Вот так делается коннект между двумя серверами
https://www.nginx.com/resources/admin-guide/nginx-...
https://security.stackexchange.com/questions/83082...

или так (не проверял)
blog.trackets.com/2014/05/17/ssh-tunnel-local-and-...

[Lynn «Кофеман»]

rizzli: А сокет не отменяет http.

В nginx что-то такое

upstream backend {
  server unix:/var/run/node.sock;
}

proxy_pass http://backend;

в ноде примерно такое
server.listen('/var/run/node.sock');

Answer 2

[Евгений]

Не вижу смысла если прокси на localhost

Comments

[rizzli]

Я правильно понимаю если сделать "proxy_ssl on", то между клиентом и nginx сначало происходит ssl handshake, а потом еще между nginx и бакендом происходит handshake? Или ssl проталкивается от клиента до бакенда, если одинаковые сертификаты?

Answer 3

[Андрей Буров]

Если все на одном сервере то смысла в этом нет.

Answer 4

[rustler2000]

Нет не надо.
Но если очень хочется, то можно конечно, но смысл ускользает при хотьбе через локалхост