我已经设置了一个处理邮件,文件,jabber等的VPS。所有这些服务只对OpenVPN创build的本地networking可用。 例如,所有这些服务只会在10.55.66.xx子网上侦听,并忽略来自公共IP的连接。
如果我的客户端和服务器之间的通信已经被encryption,那么在其上添加另一个层是否有意义? 例如,将http强制为https,需要jabber,POP3 / IMAP等SSL? 这似乎对我来说是多余的,但我想知道是否有任何我不知道的考虑。
即使只能在本地访问服务,保护服务也是一个好主意,特别是如果不能/不能相信所有的内部用户。 当然,这取决于你的networking规模,你的用户是否都是可信的,交换数据的敏感度等等。
如果你已经设置了OpenVPN,使客户端不能看到对方(即你没有打开“客户端到客户端”),这可能是多余的。 即使你打开了它,也可能是多余的,因为我不认为他们可以嗅探对方的stream量。
另一方面,我认为打开其他服务的SSL只是一个好习惯,因为并不是那么繁重。 如果在将来某个时候需要打开对非VPN客户端的访问权限,那么您就不会争先恐后地找出如何做到这一点,并且希望从现在开始到现在为止您的SSL设置中find任何缺陷未来。