SSL Termination sur Load Balancer

Centralisez la gestion SSL sur votre load balancer pour plus d'efficacité.

SSL Termination (ou TLS Termination) consiste à déchiffrer le trafic HTTPS au niveau du load balancer plutôt que sur les serveurs d'application backend. Le load balancer gère le handshake SSL et transfère le trafic en HTTP (ou re-chiffré en HTTPS) vers les backends.

Cette architecture simplifie la gestion des certificats (un seul point de configuration), améliore les performances (décharge CPU des backends), et facilite le monitoring et le debugging du trafic.

MoniTao surveille vos certificats SSL, qu'ils soient sur vos serveurs d'application ou sur votre load balancer. La centralisation facilite Ă©galement la surveillance.

Qu'est-ce que SSL Termination ?

Comprendre le concept de terminaison SSL :

  • Point de terminaison : le load balancer est le point oĂą le chiffrement SSL se termine. Les backends reçoivent du trafic non chiffrĂ©.
  • Certificat centralisĂ© : le certificat SSL est installĂ© uniquement sur le load balancer, pas sur chaque backend.
  • Communication backend : le trafic LB → backend peut ĂŞtre en HTTP (rĂ©seau privĂ©) ou re-chiffrĂ© en HTTPS (SSL passthrough ou re-encryption).
  • Headers X-Forwarded : le LB ajoute des headers (X-Forwarded-For, X-Forwarded-Proto) pour que les backends connaissent le contexte original.

Avantages de SSL Termination

Pourquoi terminer SSL au load balancer :

  • Performance : le handshake SSL est gourmand en CPU. Le dĂ©charger sur le LB libère les backends pour le traitement applicatif.
  • Gestion simplifiĂ©e : un seul certificat Ă  gĂ©rer et renouveler au lieu d'un sur chaque serveur backend.
  • Inspection du trafic : le LB peut inspecter le trafic dĂ©chiffrĂ© pour du load balancing L7, caching, WAF, etc.
  • Debugging facilitĂ© : le trafic backend en clair est plus facile Ă  dĂ©bugger et monitorer.

Configuration SSL Termination

Comment configurer la terminaison SSL :

  1. Installez le certificat sur le LB : importez votre certificat et clé privée dans votre load balancer (AWS ALB, Nginx, HAProxy, etc.).
  2. Configurez les listeners : créez un listener HTTPS (443) sur le LB qui termine SSL et forward vers les backends.
  3. Configurez les backends : les backends écoutent en HTTP sur leur port (80 ou autre) et reçoivent le trafic déchiffré.
  4. Ajoutez les headers : configurez le LB pour ajouter X-Forwarded-For et X-Forwarded-Proto pour que les apps sachent que le client Ă©tait en HTTPS.

Exemples de Configuration

Configuration SSL Termination sur différentes plateformes :

# Nginx comme load balancer avec SSL Termination
upstream backend {
    server backend1:80;
    server backend2:80;
}

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;

    location / {
        proxy_pass http://backend;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

# HAProxy SSL Termination
frontend https_front
    bind *:443 ssl crt /path/to/combined.pem
    default_backend http_back

backend http_back
    server backend1 192.168.1.10:80 check
    server backend2 192.168.1.11:80 check

Le load balancer gère SSL et forward le trafic déchiffré vers les backends. Les headers X-Forwarded permettent aux backends de connaître le protocole original.

Bonnes Pratiques

Conseils pour SSL Termination :

  • SĂ©curisez le rĂ©seau backend : si le trafic backend est en HTTP, assurez-vous que le rĂ©seau est privĂ© et sĂ©curisĂ© (VPC, VLAN isolĂ©).
  • ConsidĂ©rez le re-encryption : pour une sĂ©curitĂ© maximale, re-chiffrez le trafic vers les backends (SSL bridging) si le rĂ©seau n'est pas 100% fiable.
  • GĂ©rez les headers correctement : vos applications doivent utiliser X-Forwarded-Proto pour gĂ©nĂ©rer les URLs correctement (HTTPS, pas HTTP).
  • Surveillez le certificat du LB : utilisez MoniTao pour surveiller l'expiration du certificat sur le load balancer.

Checklist SSL Termination

  • Certificat installĂ© sur le load balancer
  • Listener HTTPS configurĂ©
  • Backends configurĂ©s en HTTP
  • Headers X-Forwarded configurĂ©s
  • RĂ©seau backend sĂ©curisĂ©
  • Monitoring du certificat configurĂ©

Questions Fréquentes

SSL Termination est-il moins sécurisé ?

Le trafic client-LB est toujours chiffré. Le risque est sur le trajet LB-backend si ce réseau n'est pas sécurisé.

Qu'est-ce que SSL Passthrough ?

Le LB transmet le trafic SSL sans le déchiffrer. Utile si vous avez besoin de end-to-end encryption mais perdez les avantages de L7.

Qu'est-ce que SSL Bridging/Re-encryption ?

Le LB déchiffre, puis re-chiffre vers les backends. Combine inspection L7 et sécurité end-to-end.

Comment gérer plusieurs domaines ?

Utilisez SNI (Server Name Indication) pour avoir plusieurs certificats sur un mĂŞme load balancer.

Dois-je mettre Ă  jour mes applications ?

Vos apps doivent respecter les headers X-Forwarded-Proto pour générer les URLs correctement.

MoniTao peut-il surveiller le certificat du LB ?

Oui, MoniTao surveille le certificat présenté à l'URL configurée, qu'il soit sur un LB ou un serveur direct.

Centralisez Votre Sécurité SSL

SSL Termination simplifie la gestion des certificats et améliore les performances. C'est l'architecture recommandée pour les déploiements avec load balancer.

Avec MoniTao, surveillez votre certificat centralisé et recevez des alertes avant son expiration pour maintenir une disponibilité optimale.

Liens utiles

PrĂŞt Ă  dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs