Quels sont les avantages d'exiger HTTPS entre AWS CloudFront et le serveur Origin?
J'héberge un site Web sur Amazon CloudFront et nous avons récemment mis à jour la distribution pour qu'elle requière le protocole HTTPS entre CloudFront et les téléspectateurs. Avec l'introduction d'AWS Certificate Manager et la viabilité de SNI, cette démarche est simple et peu coûteuse. Les avantages de passer à HTTPS sont nombreux.
Je m'interroge maintenant sur les avantages liés à la nécessité d'utiliser HTTPS entre CloudFront et mon serveur Origin (qui est une origine personnalisée). Je sais que cela voudrait dire que les FC demanderaient tous les objets Origin via HTTPS, mais j'ai du mal à trouver les avantages (sécurité ou autres) que cela procure. Existe-t-il un vecteur d’attaque pratique qui pourrait être exploité parce que les demandes à l’origine ne sont pas effectuées via HTTPS?
La configuration et la maintenance du protocole HTTPS sur le serveur Origin entraînent davantage de frais administratifs, donc je veux savoir si les avantages en font un travail rentable.
Réf.: http://docs.aws.Amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html
Si un attaquant parvient à se placer entre votre serveur Origin et l'emplacement de CloudFront Edge, il ne lui sera pas si difficile de capturer votre trafic HTTP et d'extraire vos informations. Théoriquement, cela peut être fait du côté de votre FAI. C'est ce qu'on appelle une attaque "Man-in-the-Middle": https://en.wikipedia.org/wiki/Man-in-the-middle_attack
Si vous faites confiance à 100% à votre FAI ou à votre fournisseur d'hébergement, vous n'avez pas besoin de HTTPS. En outre, il n'est pas nécessaire de chiffrer le contenu public. Quoi qu'il en soit, la meilleure pratique ultime consiste à utiliser HTTPS toujours.
Cela dépend de votre site.
Si vous exécutez un site spécial impliquant une sécurité élevée et que vous souhaitez uniquement sélectionner des personnes situées dans plusieurs pays dotés de certains navigateurs pour accéder à votre site, un identifiant (ou un élément spécifique à l'utilisateur) est requis pour accéder à la majorité du contenu du site. , alors je dirais aller pour HTTPS.
Si vous avez un site générique qui présente des informations qui ne vous dérangent pas du monde entier, alors HTTP pour les pages html devrait être OK. Même si un pirate informatique peut télécharger du contenu via HTTP plus facilement qu'avec HTTPS, je l'utilise quand même parce que c'est un protocole plus rapide et que, pour que les pages soient indexées (notamment par Google), votre site doit être rapide.
En ce qui concerne l'attaque de l'homme du milieu que quelqu'un a déclarée dans sa réponse, peu importerait un site Web destiné à un public mondial. Je resterais avec HTTP et laisserais le CDN télécharger le site. Il peut y avoir des retards ici et là pendant que les pirates informatiques font leur seconde gloire au hasard. J'entends par là où ils prennent une fraction de seconde et utilisent plus de 10 Mo de bande passante en une fraction de seconde. Je le sais en consultant les graphiques de la bande passante de mon serveur.
Maintenant, si vous utilisez un site hautement sécurisé, le protocole HTTPS peut vous aider, mais vous devez surtout vous assurer que les scripts qui traitent le site sont sécurisés à 100% et sans bogues.