Авторизуйтесь или зарегистрируйтесь, чтобы создать новую тему

Переключить https на http

monester
14
monester 25.09.2009 15:22 | #
Я хочу использовать nginx как сервер к которому будут обращаться сотрудники, поэтому шифровать http траффик до клиентов тоже будет он. Как бы отключить https в сервере?
TeamWox Service Desk (HelpDesk): техническая поддержка клиентов - это просто!

Благодаря сервисдеску клиенты компании получают возможность напрямую участвовать в диалоге со службой поддержки и любым другим подразделением компании, а также следить в режиме реального времени за ходом рассмотрения своих заявок.

renat
356
renat 25.09.2009 15:38 | #
monester :
Я хочу использовать nginx как сервер к которому будут обращаться сотрудники, поэтому шифровать http траффик до клиентов тоже будет он. Как бы отключить https в сервере?

К сожалению, отключить шифрование трафика нельзя. На текущий момент корпоративные системы не имеют права работать без шифрации.

Если я правильно понял, то Вы хотите заниматься кешированием на nginx? Это никак не поможет.

Сам Тимвокс выдает весь контент сжатым (deflate) + используются очень эффективные методы минимизации трафика. Тимвокс изначально проектировался с максимальным упором на эффективность потребляемого трафика и минимизацию времени реакции.

monester
14
monester 25.09.2009 15:59 | #
Я использую все внутренние сервисы как Frontend-Backend. На входе стоит nginx и он уже раскидывает по внутренним службам через proxy_pass. Я не вижу большого смысла в шифровании между машинами, которые стоят на растоянии 2х метров.
monester
14
monester 25.09.2009 16:10 | #
В общем это пожелание на будущее - сделайте возможность отключения шифрования. При больших нагрузках это может сильно ускорить работу сервера.
pvoid
132
pvoid 25.09.2009 16:30 | #

На самом деле для разработчиков модулей была оставлена возможность отключения шифрации. Сделать это можно прописав параметр

server_ssl_mode="false"

в teamwox.cfg в папке config.

НО, мы крайне не рекомендуем этого делать с рабочей версией так как:

  • существенно страдает безопасность
  • Перестает работать авторизация при помощи клиентских сертификатов

трижды все взвесьте перед тем как принять решение.


monester
14
monester 25.09.2009 16:54 | #
pvoid :

На самом деле для разработчиков модулей была оставлена возможность отключения шифрации. Сделать это можно прописав параметр

в teamwox.cfg в папке config.

НО, мы крайне не рекомендуем этого делать с рабочей версией так как:

  • существенно страдает безопасность
  • Перестает работать авторизация при помощи клиентских сертификатов

трижды все взвесьте перед тем как принять решение.


Спасибо за помощь. Шифрование необходимо, но никто не говорит что шифровать обязан сервер приложений.

По поводу аутентификации с использованием сертификатов - досадно, но необходимо. Политика безопасности компании не даст доступ серверу напрямую в интернет. Весь траффик должен быть под контроллем.

pvoid
132
pvoid 25.09.2009 17:39 | #
monester :

Спасибо за помощь. Шифрование необходимо, но никто не говорит что шифровать обязан сервер приложений.

По поводу аутентификации с использованием сертификатов - досадно, но необходимо. Политика безопасности компании не даст доступ серверу напрямую в интернет. Весь траффик должен быть под контроллем.

Не совсем понял о чем вы говорите, но если вы имеете ввиду авторизацию клиента в TeamWox при помощи его клиентского сертификата, то речь идет о технологии являющейся частью HTTPS. Я думаю вы понимаете что нельзя отключить HTTPS лишь частично, и при работе TeamWox по http клиентские сертификаты до него просто не доходят


monester
14
monester 25.09.2009 18:01 | #
pvoid :

Не совсем понял о чем вы говорите, но если вы имеете ввиду авторизацию клиента в TeamWox при помощи его клиентского сертификата, то речь идет о технологии являющейся частью HTTPS. Я думаю вы понимаете что нельзя отключить HTTPS лишь частично, и при работе TeamWox по http клиентские сертификаты до него просто не доходят


Я именно про это и говорил.

MolchanovAV
1
MolchanovAV 26.09.2009 01:05 | #
pvoid :

На самом деле для разработчиков модулей была оставлена возможность отключения шифрации. Сделать это можно прописав параметр

в teamwox.cfg в папке config.

НО, мы крайне не рекомендуем этого делать с рабочей версией так как:

  • существенно страдает безопасность
  • Перестает работать авторизация при помощи клиентских сертификатов

трижды все взвесьте перед тем как принять решение.


Может есть возможность смены port и url prefix?

Было бы весьма.

 

erthad
89
erthad 05.10.2009 12:42 | #

А что мешает nginx-ом подключаться к тимвоксу по https ? Он прекрасно работает в такое схеме, за исключением того, что по сравнению со схемой без проксирования, появляется возможность Man-in-the-middle атак в промежутке между серверами nginx и тимвокс, т.к. если не ошибаюсь, nginx не проверяет сертификаты проксируемого сервера.

А без шифрования если эти два сервера не отделены от внешнего мира (например, отдельным VLAN-ом или изолированным сегментом сети), сниффать данные по прежнему можно даже при использовании шифрованного подключения к прокси.

К списку тем  | 12

Авторизуйтесь или зарегистрируйтесь, чтобы добавить комментарий