Зачем же убирать шифрование? Пусть остаётся, даже с просроченным/невалидным сертификатом - всяко надёжнее. Нгинксу всё равно, что там у проксируемого ресурса.
Tylen, постгрес спроектирован таким образом, чтобы при конфигурации по умолчанию запускаться даже на самом слабом железе - одно ядро, пара сотен мегабайт памяти. Вас устроит такой ответ?
Если нет, то повторяю - необходимая для работы мощность рассчитывается исходя из предполагаемой нагрузки. Чем выше нагрузка, больше базы, сложнее запросы - тем больше нужно процессора, памяти и дисков. Универсального ответа нет, нужно мерять.
Александр, ну, окей. Я не знаток хуавеев, но обычно, как я уже говорил - просто добавить адрес на интерфейс недостаточно. Нужно разрешить хождение трафика между интерфейсами на самой железке и передать на хосты информацию (через DHCP или руками) об адресе шлюза, который будет обрабатывать данные, уходящие вне локальной сети.
Дмитрий Крапивин, что такое "отдельное сертифицированная программа"? Вы имеет в виду Графану? Если оно сертифицировано - должен быть пакет в репозитории или ещё где-то, с контрольными суммами и всяким таким. Иначе как подтвердить, что это именно то, что сертифицировалось, а не напичканное бэкдорами поделие корейских хакеров?
waltaki, для этого на бэке можно настроить, как раз-таки, без nodelay. Главное - правильным образом подобрать идентификатор сессии - чтобы запросы от разных клиентов можно было отличить друг от друга.
Александр, если у финансовых организаций до сих пор используется 3DES - значит стандарты у них не жёсткие, а давно протухшие.
Тот же PCI DSS, например, тяготеет скорее к обратному - всё слабое или хотя бы потенциально слабое шифрование из него выпиливается мгновенно, так что использовать, например, дистрибутивы вроде Дебиана, где пакеты обновляются с некоторой задержкой - проблематично.
