Ваш веб-сервер должен сделать всю обработку SSL/TLS. Это означает больше нагрузки на веб-сервер, но Вы имеете полный контроль над сертификатами и сквозной безопасностью.
Ваш веб-сервер может служить всему в качестве нормальных веб-страниц, разгружая обработку SSL/TLS. Значительно более низкая нагрузка на веб-сервер, но Вы не управляете сертификатами сами больше и повреждаете сквозную безопасность.
В конце это сводится при доверии безопасности подсистемы балансировки нагрузки и сети между подсистемой балансировки нагрузки и веб-сервером. В противном случае не беспокойтесь. Обратите внимание, что, если Вы работаете, транзакции оплаты по кредитной карте или что-то подобное там являются некоторыми довольно строгие правила о том, когда можно отправить данные, незашифрованные от SSL/TLS, разгружающегося к серверу. Перемещение сертификата не является действительно преимуществом безопасности (кто-то врывающийся в Ваш веб-сервер собирается получить все данные, независимо от того, если они могут украсть Ваши сертификаты или не).
У Вас есть такие издержки от SSL/TLS, что действительно необходимо разгрузить его к внешнему оборудованию?
Обычно можно установить разгружающуюся систему, чтобы только обеспечить безопасность SSL/TLS, где она действительно необходима.
Рассмотрите возможность установки mod_rpaf
для Apache, это поможет вам получать IP-адреса клиентов в журналах доступа Apache, а не IP-адрес вашего сервера (технически nginx запрашивает веб-страницы из Apache, поэтому Apache распознает свой IP как IP клиента без mod_rpaf
). Это единственная возможная проблема с вашей настройкой, о которой я могу думать, все остальное выглядит правильно. Правильно иметь nginx в каждом заголовке, поскольку nginx работает как интерфейс для каждой веб-страницы, как статической, так и динамической.