отключение SSL / Пересмотр TLS на heroku
Как заголовок предполагает, действительно ли возможно отключить SSL / Пересмотр TLS при хостинге приложения RoR или Heroku?
Я выполнил средства обеспечения безопасности Nessus на своем веб-сайте, и единственное серьезное разоблачение предупреждения состоит в том, что веб-сайт возможно открыт для DoS-атак.
Я пытался исследовать проблему, но я не уверен, является ли это heroku проблема или тонкий сервер или если проблема из-за приложения направляющих.
Там какие-либо решения к этой проблеме?
Любой совет ценился бы.
Если вы используете конечные точки SSL для своего приложения на Heroku, шифрование завершается на балансировщике нагрузки SSL Heroku, а не на самом Rails (стойку + тонкий / puma / и т.д.).
Как бы то ни было, я не вижу никаких публикаций Heroku о том, что отдельные лица могут отключить повторное согласование сеанса TLS на своих конечных точках, поэтому, если вам нужен этот дополнительный уровень безопасности, вам нужно будет собственный обратный прокси-сервер для завершения SSL (например, nginx или что-то в этом роде) и поставить перед вашей конечной точкой Heroku.