在基于Java的Web应用程序中实现SSL

Question

我有一个在Amazon EC2中开发的基于Java的Web应用程序。它正在进行机密信息交易。我在同一个亚马逊实例中安装了一台MySQL服务器。该Web应用程序通过localhost访问数据库。在Security Groups中，我创建了一个自定义安全性，其中端口8080（Tomcat）只能通过localhost访问。

考虑到这些，我是否仍然需要SSL来确保交易是安全的？

Answer 1

这取决于。您对数据中心内的纯文本感到满意吗？不要打扰SSL。

您是否担心本地流量（tcpdump）或恶意来源（for instance, if data was being rerouted from the switch between EC2 instances）？使用SSL。

There's a trend of large companies making sure to encrypt local traffic.