SSL proxy zu VPS

  • Ist es möglich den Netcup SSL-Proxy (https://sslconnection.de/IHRDOMAINNAME.TLD) sinnvoll für eine "sichere" Verbindung zu einem Netcup VPS zu nutzen?


    Mein kleiner VPS hat eine ungesicherte Verwaltungsoberfläche und API und es gibt keinen Webserver-Dienst. Eigentlich würde ich es gerne vermeiden einen Webserver nur wegen SSL für die Administrationsoberfläche zu installieren. Deshalb die Idee mit dem SSL-Proxy, bei der die Verbindung zumindest bis zum Netcup Rechenzentrum gesichert ist.

    • Erfolgt der Zugriff vom SS-Proxy über eine bestimmte IP oder einen definierten Netzwerkbereich?
      --> Damit könnte ich auf VPS-Seite den Zugriff auf den SSL-Proxy beschränken bzw. weitmöglichst eingrenzen.
    • Was bedeutet die Aussage "gesicherte Verbindung ins netcup Rechenzentrum in Nürnberg? wie geht es von dort weiter?
      Ist der SSL-Proxy Netzwerkbereich von dem aus die Verbindung erfolgt "Netcup intern" oder geteilt mit anderen Kundenrechnern?
      D. h. wenn ich den Netzwerkbereich für den Port wie unter (1) beschränke, dann können trotzdem alle netcup Kunden in Nürnberg weiterhin darauf zugreifen?

    Tobias

  • Theoretisch würde Dein Vorhaben natürlich wie von Dir vorgesehen funktionieren. Bedenke aber, dass z.B. Cookies und andere Daten eventuell nicht vollständig von anderen Proxy-Domains abgeschottet sind! Das läuft nun einmal alles unter der gleichen Domain und ist nicht einmal durch Subdomains abgetrennt.

    Mein kleiner VPS […]

    Was heißt "klein"? Wie viel RAM? Wie viele (v)CPU-Cores? Ein Nginx z.B. als reiner SSL-terminierender Reverseproxy braucht so wenig Ressourcen und ist so schnell eingerichtet, dass ich da keine Experimente mit anderen eventuell instabilen Methoden eingehen würde. Dazu ein kostenloses SSL-Zertifikat von Let's Encrypt und schon läuft das Ding.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ich kann dir eigentlich für dein Vorhaben, fast nur einen HAProxy empfehlen der simples SSL-Offloading (<- Stichwort) erledigt.


    Heißt deine Applikation lauscht nur auf 127.0.0.1 und ist demnach auch nur durch den HAProxy erreichbar nach aussen. Dafür macht der HAProxy dann auch so spielereien wie ich leitet 80 auf 443 weiter und wenn kein 443 dann gibts halt nix. Dann kommen noch so Sachen wie schnelles http/2 und Content Security Policy dazu und der Kuchen ist gegessen. Sobald HAProxy stirbt musst du dir halt keine Sorgen um irgendwas machen, weil defakto dann nix erreichbar ist nachdem alles auf 127.0.0.1 lauscht.


    Hab aber leider auch keinen Vergleich wie NGINX als Proxy abliefert nachdem ich dem Linux Schema folge und nur einen Dienst für eine Sache nutzte. Mir ist es quasi wurscht ob NGINX das könnte, er kann das was er kann Webserver spielen. HAProxy wiederum kann kein Webserver (in der Theorie schon, aber lua ist einfach hässlich), wurde aber gerade für so Sachen wir Load Balancing und Offloading gebaut.

  • Ich setz mal hier an (weil es der letzte Beitrag zum Thema SSL Proxy ist): selbst nicht in Verwendung aber gerade drübergestolpert, dass NetCup die Funktion (zum 28.2.2021) einstellt. Falls das schon anderweitig kommunziert wurde, einfach drüberlesen ;)


    temp.jpg