我试图在IIS(Windows Server 2008 R2和Windows Server 2012)中尽可能安全地设置HTTPS。 为了减轻攻击,如BEAST和RC4的弱点,尽可能使用ECDHE,我发现: http : //forums.iis.net/post/2056602.aspx
所以,我只是想知道在企业系统中使用IIS直接用于HTTPS是否安全? 或者使用别的东西作为SSL代理更好?
是。 它可以是安全的,虽然它只是像你的环境和政策所允许的那样安全。
我曾经看到IIS在大型企业部署中被用作安全性至关重要的前沿,并且定期对SSL进行审计。 调用弱密码并执行其他缓解措施并不需要太多的努力,但它确实需要修改默认的开箱即用设置。
即使在这种情况下,后端IIS服务器也没有直接暴露出来,而是通过DMZ区域中的IIS代理(URL重写/ ARR)通过,由2个防火墙和其他安全设备caching,然后到达后端服务器,对于允许的通信量有严格的限制。 代理是好的。
也就是说,有一点可以说是让你的代理和另一个不同的技术堆栈比你的后端服务器。 您的环境越不一致,单个漏洞利用就越不可能完全访问您的后端。