所有的服务器都需要使用HTTPS协议还是只使用公共服务器？

这是一个意见问题，也与监pipe问题（如果你面对任何问题）有关。

即使目前还没有必要，我仍然坚持在任何应用级别的防火墙/负载均衡器/前端服务器和后端服务器之间启用HTTPS。 这是一个较less的攻击面。 我已经与需要转换的地方签订合同，因为更多的敏感信息开始被传递 – 最好从这里开始。

我通常会build议使用内部CA（如果可用）或自签（如果没有内部CA）后端服务器。 为了避免不必要的改变，我们将过期date设置得很好。

TL; DR 应该encryptionstream量，除非它在同一台主机上。

你不能相信你的networking。 您自己的networking中的恶意软件可以拦截/修改http请求。

这不是理论上的攻击，而是现实生活中的例子：

• 路由器（可能被黑客攻击）在一些网站内部注入广告： https : //www.blackhat.com/docs/us-16/materials/us-16-Nakibly-TCP-Injection-Attacks-in-the-Wild- A-大尺度研究，wp.pdf

• 印度networking在云端和后端之间嗅探： https ：//medium.com/@karthikb351/airtel-is-sniffing-and-censoring-cloudflares-traffic-in-india-and-they-don-t-even-know -它-90935f7f6d98＃.hymc3785e

• 现在着名的“SSL新增和删除:-)”从NSA

“很多其他服务器”是否需要通过HTTPS运行，或者由于它们不能被外部访问，它们可以安全地通过HTTP运行吗？

这真的取决于你正在努力完成什么。 了解使用HTTPS的目的是保护两点之间的传输数据。 如果您担心networking中的数据被嗅探到，那么应该首先处理这个问题。 如果您需要保护networking中传输的数据，您所说的是您要么担心networking中数据的安全性，要么在传输过程中存在一些合规性相关的encryption数据的原因。

这实际上是一个更大的意见问题，但答案是视情况而定。 你想做什么？ 你正在encryption什么样的数据？ 你试图防御什么威胁？ 您是否有法定要求（例如PCI-DSS，HIPAA等）说您需要encryption传输中的数据？ 如果数据是敏感的，而且您担心在networking内部传输数据时可能会被误用，那么我build议与pipe理层一起解决问题。 所以最后你想保护什么？为什么要保护它？

当天，人们认为内部networking作为房屋是安全的。 我曾与一位主pipe发生过争执，他对我的内部服务器运行内置防火墙感到震惊。 “如果你不能相信你的内部networking，你可以信任谁？” 我指出，我们的内部networking上有学生笔记本电脑，学生笔记本电脑和我的服务器之间没有防火墙。 他对学术界是陌生的，他的宇宙似乎在这些信息中破碎了。

即使您的networking上没有学生笔记本电脑，内部networking也不再被认为是安全的。 有关示例，请参阅Tom的回答。

这是说，是的，这取决于传输什么信息，任何法律合规问题等。你可能会认为你不在乎是否有人嗅探，比如天气数据。 也就是说，即使发送的数据现在不敏感，有人可能会决定稍后添加function到您的应用程序，因此我会build议更多的偏执狂（包括HTTPS）。

今天用专门的CPU指令来加速encryption，以及新的传输协议根本不能运行，或者在未encryption的链接（HTTP / 2，gRPC等等）下性能降低，或许更好的问题是：有没有之所以需要将networking链接降级到HTTP？ 如果没有具体的原因，那么答案就是保持HTTPS。

禁用encryption的唯一原因是我能想到的是性能。 但是，在你的情况下，内部服务器通过HTTP接口，这意味着它们已经承担了运行Web服务器的性能代价，支持HTTP协议和HTTP / JSON编码数据等等。 禁用encryption将释放大约100KB的RAM，并为每千字节传输数据赢得几微秒，这对整体性能没有明显的影响。 另一方面，由于您现在在Intranet中运行HTTP，您将不得不更多地关注安全性。 事实上，更严格的防火墙configuration可能会使速度放慢，而不是加速禁用加速，导致最终用户感觉到更糟糕的性能。

这就好比在拖拉机上放置一个扰stream板：理论上你几乎无所事事，实际上也带来很多不便。