Q&A
ご回答ありがとうございます。
では、WAFを入れる場合、Webサーバー側にはSSL設定が必要ないということでしょうか?
WAFを経由したサイトのSSL設定について教えてください。
WAFを経由する場合、WAF側とWebサーバー側両方に設定する認識でしたが、
WAF側のみにSSLを設定すればよいのでしょうか?
Webサーバー側だけに設定した場合、SSLの期限が更新されず、
WAF側のみに設定した場合には、SSLの期限が更新されていました。
以上、何卒宜しくお願い致します。
回答2件
0
ベストアンサー
お話の流れから、WAFはリバースプロキシとして構成されているものと想定して回答します。
WAFとWebサーバーが同じクラウドあるいはデータセンターに置かれている場合は、WAFとWebサーバーの間はHTTPでやりとりする場合が大半だと思います。その経路は安全であるとみなせるからです。
一方、いわゆる「クラウド型WAF」のような場合ですと、WAFとWebサーバーは別のクラウドにある状況がありえます。この場合は、WAFとWebサーバー間の通信はインターネットを経由するので、さまざまな攻撃の可能性は一応あります。なので、Webサーバー側にも証明書をいれて、WAFとWebサーバー間をHTTPSでつなぐ場合もあります。しかし、現実の攻撃は難しいという理由から、この場合でもWAFとWebサーバー間を平文HTTPでつなぐ場合も現実には多いと思います。
投稿2021/05/12 04:56
総合スコア11705
0
WAFの仕様上、WAFがSSL終端になる必要があるのでWAF側に設定するのが正解です。
投稿2021/05/12 04:24
総合スコア4315
>WAFを入れる場合、Webサーバー側にはSSL設定が必要ないということでしょうか
基本的にはないです。
WAFの障害を想定してSSL設定というのはアリという情報を見ました。
その場合は証明書発行元のライセンスに準拠しているか確認する必要があります。
なるほど。
今まで両方に設定することが必須と思っておりました。
ご回答いただきありがとうございました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/05/12 05:07